Transcript Ochrana soukromí na internetu
OCHRANA SOUKROMÍ NA INTERNETU
JIP 21.11. 2011 Pavla Kovářová KISK, ÚISK, Ikaros, NAKLIV
Témata dne
• Soukromí a internet • Riziko osobních informací na internetu • Zdroj největších problémů • Vodítka ve výzkumech • Proč to řešit?
• Ochrana a obrana
SOUKROMÍ A INTERNET
Definice soukromí
• • • „Do soukromí spadají nejen naše hmotné i nehmotné statky, informace o našem okolí, rodině, informace o nás samotných. Vždy se jednalo o určitý prostor, kam
nesmí bez
našeho
svolení nikdo
vstupovat nebo do něj globálního monitoringu)
zasahovat
.“ (Zadražilová, Nebezpečí zneužití osobních informací v době „Pojem soukromí resp. soukromý a rodinný život se však nevztahuje jen na prostory jako koupelny, toalety, případně na celý byt nebo dům. Soukromí znamená jistou ať se nachází
kdekoli sféru integrity
jednotlivce a jeho blízkých, která obklopuje jednotlivce samého, .“ (ÚOOÚ, Stanovisko č. 1/2008) Nárok
sám určit
, kdy, jak a v jakém rozsahu jsou informace o něm šířeny dál (volně dle Westin, Privacy and Freedom)
Typologie
• Fyzické: ochrana před průnikem do fyzického prostoru někoho jiného • Informační: může souviset se shromažďováním a sdílením dat o někom, jejich zpracování, přístupem k nim nebo jak může jejich majitel ovlivňovat práci s nimi; vč. oblasti financí, lékařství, sexualitě či politice • Organizační: soukromí institucí, např. utajení obchodního tajemství, vládních informací… • Duševní a intelektuální: vnímání jednotlivce, jeho pocity a intelekt
Soukromí a hranice
• Hranice se liší u kultur i jednotlivců • Při soukromé komunikaci musí být kladně odpovězeno na otázku: „Je způsob, jakým jsou informace nebo fyzický majetek zobrazovány nebo vyměňovány mezi dvěma stranami, znám pouze těmto dvěma stranám?“ (Long, Google Hacking) • S internetem nárůst sdílení i shromažďování informací => zmenšení soukromí • Zákon jen etické minimum, některé chrání, jiné omezují soukromí, občas naráží
Soukromí v českém zákoně
• Dle Listiny základních práv a svobod základní lidské právo i právo na soukromí (čl. 7, 10, 13, vč. soukromí zpráv) • Zákon 101/2000 Sb., o ochraně OÚ • Zákon 480/2004 Sb., o některých službách informační společnosti • Trestní zákoník • Některé zákony soukromí omezují (daně, registry, státní správa, bezpečnost, zrušený zákon o data retention), jindy na sebe naráží (např. soukromí X svoboda projevu)
RIZIKO OSOBNÍCH INFORMACÍ NA INTERNETU
Zneužitelnost informací
• Člověk = vždy nejslabší článek zabezpečení • Cílenější útok úspěšnější, ale náročnější • Lze zneužít VŠECHNY informace, ale některé lépe • Nejohroženější identifikační údaje (tradiční i elektronické)
Typy zneužitelných informací
• Král, 2006: • • • Červená – identifikační informace (vč. autentizačních), rodné jméno matky, informace o zdravotním stavu apod.
Oranžová (žlutá) – telefonní číslo, adresa, datum narození, zájmy a koníčky apod.
Zelená – směrovací číslo, průzkumy veřejného mínění, atd., ale jen bez spojení s údaji z předchozích skupin • „Čtvrtina (…) jako heslo používá nějaký pro ně snadno zapamatovatelný údaj, jako třeba datum jejich narození či nějakého výročí“ (Noska, 2010)
Zdroje informací
• OBĚŤ • Zveřejněné informace • Programy za informace… • Spyware • Nedůvěryhodný správce • Použité HW úložiště • Hlavičky zpráv
SOCIÁLNÍ SÍTĚ – ZDROJ NEJVĚTŠÍCH PROBLÉMŮ
Internet a pes
Sociální sítě (SNS)
• Spojení starších komunikačních metod • Jádrem uživatelské profily a jejich spojení • Podstatný není tolik obsah jako sociální sdílení • Často čím víc zveřejněno, tím lépe, příp. čím víc přátel, tím lépe => kdo není na Facebooku neexistuje • Neuvědomění si rizik a důsledků • Mobilní SNS ke všemu přidávají stálou dostupnost + informaci o fyzickém místě • Navazují na popularitu „vystavování se“ (např. Lidé , Líbímseti , Badoo …)
Možnosti nastavení soukromí
• Možnost vyhledání osoby • • Na celém internetu Na stránkách FB • Přístup ke osobním informacím (kontakty, škola…) • • • Všichni uživatelé FB Přátelé přátel Jen přátelé • Přístup ke zprávám, multimédiím… • • • • Všichni uživatelé FB (půl miliardy lidí) Přátelé přátel Jen přátelé Nastavení AdHoc
SNS mění vztahy i bouření
VODÍTKA VE VÝZKUMECH
Jak velký je to problém?
• V ČR neexistují specializované výzkumy k tématu • Řešeno v zahraničí/zaměřené na děti do 15 nebo 18 let/na dílčí témata • Př. výzkumu v USA a GB v r. 2008 – 52 % respondentů neznalo své nastavení pro ochranu soukromí (The state of computer privacy : Steganos 2008 survey into PC security)
Výzkum: SNS a dospívající
• Iniciátor Microsoft v r. 2010 v 11 evropských zemích • 5 615 respondentů do 18 let a 8 566 dospělých • Dospívající: • Dle 43 % zveřejňování OI na internetu bezpečné • • • Zveřejňují: skutečné jméno (85 %), fotografie sebe a přátel (71 %), školu (44 %), adresu (13 %) Většina omezuje přístup k informacím, volně nechává 17 % 63 % kontakt od neznámých, téměř 1/2 odpověděla • Rodiče: • • 40 % nesleduje aktivitu dětí a jimi zveřejňované OI 50 % nesleduje dodržování pravidel pro ochranu soukromí
Monitorování zaměstnanců (truconneXion, 2009)
• • • • Průzkum v 200 českých firmách Necelé 3/4 používají monitoring pro snížení nákladů 56,8 % částečně či zcela omezuje přístup k internetu 35,9 % považuje zneužívání pracovní doby na PC za klíčové k řešení (roste) 13,40% 14,90% 6% 5,40% 16% e-mail k soukromým účelům hraní PC her online nákupy komunikační programy (IM…) SNS stahování multimédií hraní online her 26,60% 17,70%
Robert Kleiner, truconneXion
• „Celkový zneužívaný čas se v průběhu roku zkrátil z jedné a půl na průměrně jednu hodinu denně, kterou zaměstnanec věnuje svým aktivitám nesouvisejícím s jeho prací. Mezi nejrozšířenější formy zneužití firemních technologií patří využívání e-mailu k soukromým účelům, on line nákupy a sociální sítě,“ • „Jejich kontrola v rámci pravidel je nejenom nezbytná, ale také zdravá. Už samotné rozšíření informace, že jsou zaměstnanci monitorováni, má preventivní účinek a významně zvyšuje jejich efektivitu na pracovišti“
PROČ TO ŘEŠIT?
Narušitelé soukromí
• Instituce chránící zájmy a bezpečí => často naruší soukromí běžných uživatelů, ale nestačí na problémové • Stát pro zjednodušení aktivit • Firmy cíleným marketingem • Provozovatelé CCTV systémů • Nedůvěryhodný správce sítě/serveru, ISP… • Blízcí lidé • Sám postižený špatným nastavením SW nebo výměnou za výhodu • Útočníci
Typy nelegálního ohrožení soukromí
• Sociální inženýrství • • • • Malware, hl. s rysy spywaru Nevyžádané zprávy: spam, scam (vč. pyramid, podvodných loterií a nigerijských dopisů), řetězové zprávy , hoax Phishing a následovníci, tj. pharming, SMiShing, vishing Kyberšikana: Ghyslain Raza ( Star Wars Kid ), Ryan Patric Halligan, Anna Halman, Megan Meier • Kyberstalking • Kybergrooming: Pavel Hovorka • • • • Sexting: Jessica Logan Krádež identity Vydírání: cizinec vydíral 80 Češek přes internet (8/2010) Soutěž o o nejkrásnější dítě na FB?
OCHRANA A OBRANA
Ochrana soukromí na internetu
• 100% bezpečnost neexistuje, ale ohrožení lze omezit a ztížit • Správné nastavení SW, hl. práv (prohlížeč, ukládání záznamů o činnostech na počítači, autentizace…) • Použití a správné nastavení bezpečnostních aplikací (firewall, antispyware, šifrování, anonymizér…) • Poučení uživatele a jeho bezpečné chování – základ všeho
Bezpečné chování
• Přemýšlet před jednáním, zda nemůže ohrozit soukromí • Neměnit pohodlí za rizika soukromí (např. pamatování přihlašovacích údajů, nečtení varování…) • Ověřovat si oprávněnost požadavků na informace • Neposkytovat žádné informace, nestahovat a neinstalovat nic, pokud to není nezbytné • Pozorně se seznámit s podmínkami užití služeb, ale i zařízení v zaměstnání či institucích zpřístupňujících internet • Čas od času preventivní prověření situace, vymazání historie prohlížení i otevřených dokumentů, přenastavení…
Pomocné organizace
• ÚOOÚ – možnosti uzákoněny; sankce, stanoviska, ovlivňuje legislativu, už řešil porušení zákona: • • • • 101/2000 Sb.
• • • • Omezení k účelu: Opencard – identifikace i pokud to nebylo nutné Závazek kvality dat: Celní informační systém v r. 2008 existoval, ale nebyl používán – nebylo možné zajišťovat kvalitu dat Závazek bezpečnosti dat: dokumenty s OÚ, vč. zdravotních záznamů s dalšími odpadky nalezeny v lese Vymazání dat: Nadační fond přes požadavky nevymazal uložené OÚ • 480/2004 Sb.
• Spam: většinou zjištěna neoprávněnost stížnosti, ale chyba zákazníka Internet Hotline a Internetová horká linka Iuridicum Remedium – iniciativa odborníků, hl. právníků Další občanské (i mezinárodní) snahy
DĚKUJI ZA POZORNOST.
Dotazy?
E-dotazy: [email protected]