300 likes | 397 Views
Ochrana soukromí na internetu. JIP 21.11. 2011 Pavla Kovářová KISK, ÚISK, Ikaros, NAKLIV. Témata dne. Soukromí a internet Riziko osobních informací na internetu Zdroj největších problémů Vodítka ve výzkumech Proč to řešit? Ochrana a obrana. SOUKROMÍ A INTERNET. Definice soukromí.
E N D
Ochrana soukromí na internetu JIP 21.11. 2011 Pavla Kovářová KISK, ÚISK, Ikaros, NAKLIV
Témata dne • Soukromí a internet • Riziko osobních informací na internetu • Zdroj největších problémů • Vodítka ve výzkumech • Proč to řešit? • Ochrana a obrana
Definice soukromí • „Do soukromí spadají nejen naše hmotné i nehmotné statky, informace o našem okolí, rodině, informace o nás samotných. Vždy se jednalo ourčitý prostor, kam nesmí bez našeho svolenínikdo vstupovat nebo do něj zasahovat.“ (Zadražilová, Nebezpečí zneužití osobních informací v době globálního monitoringu) • „Pojem soukromí resp. soukromý a rodinný život se však nevztahuje jen na prostory jako koupelny, toalety, případně na celý byt nebo dům. Soukromí znamená jistou sféru integrity jednotlivce a jeho blízkých, která obklopuje jednotlivce samého, ať se nachází kdekoli.“ (ÚOOÚ, Stanovisko č. 1/2008) • Nárok sám určit, kdy, jak avjakém rozsahu jsou informace o něm šířeny dál (volně dle Westin, Privacy and Freedom)
Typologie • Fyzické: ochrana před průnikem do fyzického prostoru někoho jiného • Informační: může souviset se shromažďováním asdílením dat o někom, jejich zpracování, přístupem k nim nebo jak může jejich majitel ovlivňovat práci snimi; vč. oblasti financí, lékařství, sexualitě či politice • Organizační: soukromí institucí, např. utajení obchodního tajemství, vládních informací… • Duševní a intelektuální: vnímání jednotlivce, jeho pocity a intelekt
Soukromí a hranice • Hranice se liší u kultur i jednotlivců • Při soukromé komunikaci musí být kladně odpovězeno na otázku: „Je způsob, jakým jsou informace nebo fyzický majetek zobrazovány nebo vyměňovány mezi dvěma stranami, znám pouze těmto dvěma stranám?“ (Long, Google Hacking) • S internetem nárůst sdílení ishromažďování informací => zmenšení soukromí • Zákon jen etické minimum, některé chrání, jiné omezují soukromí, občas naráží
Soukromí v českém zákoně • Dle Listiny základních práv a svobod základní lidské právo iprávo na soukromí (čl. 7, 10, 13, vč. soukromí zpráv) • Zákon 101/2000 Sb., o ochraně OÚ • Zákon 480/2004 Sb., o některých službách informační společnosti • Trestní zákoník • Některé zákony soukromí omezují (daně, registry, státní správa, bezpečnost, zrušený zákon o data retention), jindy na sebe naráží (např. soukromí X svoboda projevu)
Zneužitelnost informací • Člověk = vždy nejslabší článek zabezpečení • Cílenější útok úspěšnější, ale náročnější • Lze zneužít VŠECHNY informace, ale některé lépe • Nejohroženější identifikační údaje (tradiční i elektronické)
Typy zneužitelných informací • Král, 2006: • Červená – identifikační informace (vč. autentizačních), rodné jméno matky, informace o zdravotním stavu apod. • Oranžová (žlutá) – telefonní číslo, adresa, datum narození, zájmy a koníčky apod. • Zelená – směrovací číslo, průzkumy veřejného mínění, atd., ale jen bez spojení s údaji z předchozích skupin • „Čtvrtina (…) jako heslo používá nějaký pro ně snadno zapamatovatelný údaj, jako třeba datum jejich narození či nějakého výročí“ (Noska, 2010)
Zdroje informací • OBĚŤ • Zveřejněné informace • Programy za informace… • Spyware • Nedůvěryhodný správce • Použité HW úložiště • Hlavičky zpráv
Sociální sítě (SNS) • Spojení starších komunikačních metod • Jádrem uživatelské profily a jejich spojení • Podstatný není tolik obsah jako sociální sdílení • Často čím víc zveřejněno, tím lépe, příp. čím víc přátel, tím lépe => kdo není na Facebooku neexistuje • Neuvědomění si rizik a důsledků • Mobilní SNS ke všemu přidávají stálou dostupnost + informaci o fyzickém místě • Navazují na popularitu „vystavování se“ (např. Lidé, Líbímseti, Badoo…)
Možnosti nastavení soukromí • Možnost vyhledání osoby • Na celém internetu • Na stránkách FB • Přístup ke osobním informacím (kontakty, škola…) • Všichni uživatelé FB • Přátelé přátel • Jen přátelé • Přístup ke zprávám, multimédiím… • Všichni uživatelé FB (půl miliardy lidí) • Přátelé přátel • Jen přátelé • Nastavení AdHoc
Jak velký je to problém? • V ČR neexistují specializované výzkumy k tématu • Řešeno v zahraničí/zaměřené na děti do 15nebo 18 let/na dílčí témata • Př. výzkumu v USA a GB v r. 2008 – 52 % respondentů neznalo své nastavení pro ochranu soukromí (The state ofcomputer privacy : Steganos 2008 survey into PC security)
Výzkum: SNS a dospívající • Iniciátor Microsoft v r. 2010 v 11 evropských zemích • 5 615 respondentů do 18 let a8566 dospělých • Dospívající: • Dle 43 % zveřejňování OI na internetu bezpečné • Zveřejňují: skutečné jméno (85 %), fotografie sebe a přátel (71 %), školu (44 %), adresu (13 %) • Většina omezuje přístup k informacím, volně nechává 17 % • 63 % kontakt od neznámých, téměř 1/2 odpověděla • Rodiče: • 40 % nesleduje aktivitu dětí a jimi zveřejňované OI • 50 % nesleduje dodržování pravidel pro ochranu soukromí
Monitorování zaměstnanců (truconneXion, 2009) • Průzkum v 200 českých firmách • Necelé 3/4 používají monitoring pro snížení nákladů • 56,8 % částečně či zcela omezuje přístup k internetu • 35,9 % považuje zneužívání pracovní doby na PC za klíčové k řešení (roste)
Robert Kleiner, truconneXion • „Celkový zneužívaný čas se v průběhu roku zkrátil z jedné a půl na průměrně jednu hodinu denně, kterou zaměstnanec věnuje svým aktivitám nesouvisejícím s jeho prací. Mezi nejrozšířenější formy zneužití firemních technologií patří využívání e-mailu k soukromým účelům, on-line nákupy a sociální sítě,“ • „Jejich kontrola v rámci pravidel je nejenom nezbytná, ale také zdravá. Už samotné rozšíření informace, že jsou zaměstnanci monitorováni, má preventivní účinek a významně zvyšuje jejich efektivitu na pracovišti“
Narušitelé soukromí • Instituce chránící zájmy a bezpečí => často naruší soukromí běžných uživatelů, ale nestačí na problémové • Stát pro zjednodušení aktivit • Firmy cíleným marketingem • Provozovatelé CCTV systémů • Nedůvěryhodný správce sítě/serveru, ISP… • Blízcí lidé • Sám postižený špatným nastavením SW nebo výměnou za výhodu • Útočníci
Typy nelegálního ohrožení soukromí • Sociální inženýrství • Malware, hl. s rysy spywaru • Nevyžádané zprávy: spam, scam (vč. pyramid, podvodných loterií a nigerijských dopisů), řetězové zprávy, hoax • Phishing a následovníci, tj. pharming, SMiShing, vishing • Kyberšikana: Ghyslain Raza (Star Wars Kid), Ryan Patric Halligan, Anna Halman, Megan Meier • Kyberstalking • Kybergrooming: Pavel Hovorka • Sexting: Jessica Logan • Krádež identity • Vydírání: cizinec vydíral 80 Češek přes internet (8/2010) • Soutěž o o nejkrásnější dítě na FB?
Ochrana soukromí na internetu • 100% bezpečnost neexistuje, ale ohrožení lze omezit a ztížit • Správné nastavení SW, hl. práv (prohlížeč, ukládání záznamů o činnostech na počítači, autentizace…) • Použití a správné nastavení bezpečnostních aplikací (firewall, antispyware, šifrování, anonymizér…) • Poučení uživatele a jeho bezpečné chování – základ všeho
Bezpečné chování • Přemýšlet před jednáním, zda nemůže ohrozit soukromí • Neměnit pohodlí za rizika soukromí (např. pamatování přihlašovacích údajů, nečtení varování…) • Ověřovat si oprávněnost požadavků na informace • Neposkytovat žádné informace, nestahovat a neinstalovat nic, pokud to není nezbytné • Pozorně se seznámit s podmínkami užití služeb, ale i zařízení vzaměstnání či institucích zpřístupňujících internet • Čas od času preventivní prověření situace, vymazání historie prohlížení iotevřených dokumentů, přenastavení…
Pomocné organizace • ÚOOÚ – možnosti uzákoněny; sankce, stanoviska, ovlivňuje legislativu, už řešil porušení zákona: • 101/2000 Sb. • Omezení k účelu: Opencard – identifikace i pokud to nebylo nutné • Závazek kvality dat: Celní informační systém v r. 2008 existoval, ale nebyl používán – nebylo možné zajišťovat kvalitu dat • Závazek bezpečnosti dat: dokumenty s OÚ, vč. zdravotních záznamů sdalšími odpadky nalezeny v lese • Vymazání dat: Nadační fond přes požadavky nevymazal uložené OÚ • 480/2004 Sb. • Spam: většinou zjištěna neoprávněnost stížnosti, ale chyba zákazníka • Internet Hotline a Internetová horká linka • Iuridicum Remedium – iniciativa odborníků, hl. právníků • Další občanské (i mezinárodní) snahy
Děkuji za pozornost. Dotazy? E-dotazy: kovarovap@gmail.com