OCHRANA SOUKROMÍ NA INTERNETU

JIP 21.11. 2011 Pavla Kovářová KISK, ÚISK, Ikaros, NAKLIV

Témata dne

• Soukromí a internet • Riziko osobních informací na internetu • Zdroj největších problémů • Vodítka ve výzkumech • Proč to řešit?

• Ochrana a obrana

SOUKROMÍ A INTERNET

Definice soukromí

• • • „Do soukromí spadají nejen naše hmotné i nehmotné statky, informace o našem okolí, rodině, informace o nás samotných. Vždy se jednalo o určitý prostor, kam

nesmí bez

našeho

svolení nikdo

vstupovat nebo do něj globálního monitoringu)

zasahovat

.“ (Zadražilová, Nebezpečí zneužití osobních informací v době „Pojem soukromí resp. soukromý a rodinný život se však nevztahuje jen na prostory jako koupelny, toalety, případně na celý byt nebo dům. Soukromí znamená jistou ať se nachází

kdekoli sféru integrity

jednotlivce a jeho blízkých, která obklopuje jednotlivce samého, .“ (ÚOOÚ, Stanovisko č. 1/2008) Nárok

sám určit

, kdy, jak a v jakém rozsahu jsou informace o něm šířeny dál (volně dle Westin, Privacy and Freedom)

Typologie

• Fyzické: ochrana před průnikem do fyzického prostoru někoho jiného • Informační: může souviset se shromažďováním a sdílením dat o někom, jejich zpracování, přístupem k nim nebo jak může jejich majitel ovlivňovat práci s nimi; vč. oblasti financí, lékařství, sexualitě či politice • Organizační: soukromí institucí, např. utajení obchodního tajemství, vládních informací… • Duševní a intelektuální: vnímání jednotlivce, jeho pocity a intelekt

Soukromí a hranice

• Hranice se liší u kultur i jednotlivců • Při soukromé komunikaci musí být kladně odpovězeno na otázku: „Je způsob, jakým jsou informace nebo fyzický majetek zobrazovány nebo vyměňovány mezi dvěma stranami, znám pouze těmto dvěma stranám?“ (Long, Google Hacking) • S internetem nárůst sdílení i shromažďování informací => zmenšení soukromí • Zákon jen etické minimum, některé chrání, jiné omezují soukromí, občas naráží

Soukromí v českém zákoně

• Dle Listiny základních práv a svobod základní lidské právo i právo na soukromí (čl. 7, 10, 13, vč. soukromí zpráv) • Zákon 101/2000 Sb., o ochraně OÚ • Zákon 480/2004 Sb., o některých službách informační společnosti • Trestní zákoník • Některé zákony soukromí omezují (daně, registry, státní správa, bezpečnost, zrušený zákon o data retention), jindy na sebe naráží (např. soukromí X svoboda projevu)

RIZIKO OSOBNÍCH INFORMACÍ NA INTERNETU

Zneužitelnost informací

• Člověk = vždy nejslabší článek zabezpečení • Cílenější útok úspěšnější, ale náročnější • Lze zneužít VŠECHNY informace, ale některé lépe • Nejohroženější identifikační údaje (tradiční i elektronické)

Typy zneužitelných informací

• Král, 2006: • • • Červená – identifikační informace (vč. autentizačních), rodné jméno matky, informace o zdravotním stavu apod.

Oranžová (žlutá) – telefonní číslo, adresa, datum narození, zájmy a koníčky apod.

Zelená – směrovací číslo, průzkumy veřejného mínění, atd., ale jen bez spojení s údaji z předchozích skupin • „Čtvrtina (…) jako heslo používá nějaký pro ně snadno zapamatovatelný údaj, jako třeba datum jejich narození či nějakého výročí“ (Noska, 2010)

Zdroje informací

• OBĚŤ • Zveřejněné informace • Programy za informace… • Spyware • Nedůvěryhodný správce • Použité HW úložiště • Hlavičky zpráv

SOCIÁLNÍ SÍTĚ – ZDROJ NEJVĚTŠÍCH PROBLÉMŮ

Internet a pes

Sociální sítě (SNS)

• Spojení starších komunikačních metod • Jádrem uživatelské profily a jejich spojení • Podstatný není tolik obsah jako sociální sdílení • Často čím víc zveřejněno, tím lépe, příp. čím víc přátel, tím lépe => kdo není na Facebooku neexistuje • Neuvědomění si rizik a důsledků • Mobilní SNS ke všemu přidávají stálou dostupnost + informaci o fyzickém místě • Navazují na popularitu „vystavování se“ (např. Lidé , Líbímseti , Badoo …)

Možnosti nastavení soukromí

• Možnost vyhledání osoby • • Na celém internetu Na stránkách FB • Přístup ke osobním informacím (kontakty, škola…) • • • Všichni uživatelé FB Přátelé přátel Jen přátelé • Přístup ke zprávám, multimédiím… • • • • Všichni uživatelé FB (půl miliardy lidí) Přátelé přátel Jen přátelé Nastavení AdHoc

SNS mění vztahy i bouření

VODÍTKA VE VÝZKUMECH

Jak velký je to problém?

• V ČR neexistují specializované výzkumy k tématu • Řešeno v zahraničí/zaměřené na děti do 15 nebo 18 let/na dílčí témata • Př. výzkumu v USA a GB v r. 2008 – 52 % respondentů neznalo své nastavení pro ochranu soukromí (The state of computer privacy : Steganos 2008 survey into PC security)

Výzkum: SNS a dospívající

• Iniciátor Microsoft v r. 2010 v 11 evropských zemích • 5 615 respondentů do 18 let a 8 566 dospělých • Dospívající: • Dle 43 % zveřejňování OI na internetu bezpečné • • • Zveřejňují: skutečné jméno (85 %), fotografie sebe a přátel (71 %), školu (44 %), adresu (13 %) Většina omezuje přístup k informacím, volně nechává 17 % 63 % kontakt od neznámých, téměř 1/2 odpověděla • Rodiče: • • 40 % nesleduje aktivitu dětí a jimi zveřejňované OI 50 % nesleduje dodržování pravidel pro ochranu soukromí

Monitorování zaměstnanců (truconneXion, 2009)

• • • • Průzkum v 200 českých firmách Necelé 3/4 používají monitoring pro snížení nákladů 56,8 % částečně či zcela omezuje přístup k internetu 35,9 % považuje zneužívání pracovní doby na PC za klíčové k řešení (roste) 13,40% 14,90% 6% 5,40% 16% e-mail k soukromým účelům hraní PC her online nákupy komunikační programy (IM…) SNS stahování multimédií hraní online her 26,60% 17,70%

Robert Kleiner, truconneXion

• „Celkový zneužívaný čas se v průběhu roku zkrátil z jedné a půl na průměrně jednu hodinu denně, kterou zaměstnanec věnuje svým aktivitám nesouvisejícím s jeho prací. Mezi nejrozšířenější formy zneužití firemních technologií patří využívání e-mailu k soukromým účelům, on line nákupy a sociální sítě,“ • „Jejich kontrola v rámci pravidel je nejenom nezbytná, ale také zdravá. Už samotné rozšíření informace, že jsou zaměstnanci monitorováni, má preventivní účinek a významně zvyšuje jejich efektivitu na pracovišti“

PROČ TO ŘEŠIT?

Narušitelé soukromí

• Instituce chránící zájmy a bezpečí => často naruší soukromí běžných uživatelů, ale nestačí na problémové • Stát pro zjednodušení aktivit • Firmy cíleným marketingem • Provozovatelé CCTV systémů • Nedůvěryhodný správce sítě/serveru, ISP… • Blízcí lidé • Sám postižený špatným nastavením SW nebo výměnou za výhodu • Útočníci

Typy nelegálního ohrožení soukromí

• Sociální inženýrství • • • • Malware, hl. s rysy spywaru Nevyžádané zprávy: spam, scam (vč. pyramid, podvodných loterií a nigerijských dopisů), řetězové zprávy , hoax Phishing a následovníci, tj. pharming, SMiShing, vishing Kyberšikana: Ghyslain Raza ( Star Wars Kid ), Ryan Patric Halligan, Anna Halman, Megan Meier • Kyberstalking • Kybergrooming: Pavel Hovorka • • • • Sexting: Jessica Logan Krádež identity Vydírání: cizinec vydíral 80 Češek přes internet (8/2010) Soutěž o o nejkrásnější dítě na FB?

OCHRANA A OBRANA

Ochrana soukromí na internetu

• 100% bezpečnost neexistuje, ale ohrožení lze omezit a ztížit • Správné nastavení SW, hl. práv (prohlížeč, ukládání záznamů o činnostech na počítači, autentizace…) • Použití a správné nastavení bezpečnostních aplikací (firewall, antispyware, šifrování, anonymizér…) • Poučení uživatele a jeho bezpečné chování – základ všeho

Bezpečné chování

• Přemýšlet před jednáním, zda nemůže ohrozit soukromí • Neměnit pohodlí za rizika soukromí (např. pamatování přihlašovacích údajů, nečtení varování…) • Ověřovat si oprávněnost požadavků na informace • Neposkytovat žádné informace, nestahovat a neinstalovat nic, pokud to není nezbytné • Pozorně se seznámit s podmínkami užití služeb, ale i zařízení v zaměstnání či institucích zpřístupňujících internet • Čas od času preventivní prověření situace, vymazání historie prohlížení i otevřených dokumentů, přenastavení…

Pomocné organizace

• ÚOOÚ – možnosti uzákoněny; sankce, stanoviska, ovlivňuje legislativu, už řešil porušení zákona: • • • • 101/2000 Sb.

• • • • Omezení k účelu: Opencard – identifikace i pokud to nebylo nutné Závazek kvality dat: Celní informační systém v r. 2008 existoval, ale nebyl používán – nebylo možné zajišťovat kvalitu dat Závazek bezpečnosti dat: dokumenty s OÚ, vč. zdravotních záznamů s dalšími odpadky nalezeny v lese Vymazání dat: Nadační fond přes požadavky nevymazal uložené OÚ • 480/2004 Sb.

• Spam: většinou zjištěna neoprávněnost stížnosti, ale chyba zákazníka Internet Hotline a Internetová horká linka Iuridicum Remedium – iniciativa odborníků, hl. právníků Další občanské (i mezinárodní) snahy

DĚKUJI ZA POZORNOST.

Dotazy?

E-dotazy: [email protected]