Prípad „Elektronická zdravotná karta občana“ (EZKO) som síce už komentoval v predchádzajúcom článku, ale v ňom som sa sústredil len na otázky bezpečnosti. To však nie je to isté ako ochrana súkromia (osobných údajov), čo považujem za prinajmenšom rovnako dôležitý problém. A z príspevkov v diskusiách k článkom na tému EZKO možno usúdiť, že nedostatočne pochopený. pokračovanie článku
Prípad „Elektronická zdravotná karta občana“ (EZKO) vzbudil slušný záujem médií i ľudí, čo sa o.i. premietlo do značného počtu článkov a príspevkov v diskusných fórach. Analýzou samotnej špecifikácie EZKO ako aj prezentovaných názorov možno dôjsť k dvom hlavným záverom – a) počet ľudí, ktorí si uvedomujú dôležitosť bezpečnosti a ochrany súkromia rastie (dobrá správa) a b) pri návrhu i hodnotení EZKO absentuje komplexný pohľad, ľudia sa sústreďujú len na niektoré, často okrajové, problémy a ignorujú omnoho väčšie (zlá správa). Pokúsme sa prehľadne charakterizovať kľúčové otázky bezpečnosti EZKO a súvisiace názory (téma EZKO a ochrana súkromia si zaslúži samostatný článku), teda bez toho, aby sme sa zaplietli do zbytočných detailov. Za cenu istého zjednodušenia na to použijeme nasledovné podobenstvo... pokračovanie článku
Programy a priority politických strán nezvyknú klásť dôraz na ochranu súkromia – a na praxi ochrany súkromia to aj vidieť. Situácia sa však, zdá sa, konečne mení, keď po prvej lastovičke - zatiaľ skôr okrajovej, novovzniknutej švédskej Pirátskej strane - sa tejto témy chytili aj britskí konzervatívci. Ich zodpovedajúci pokračovanie článku
Dvadsaťpäť rokov nie je v existencii civilizovanej spoločnosti nejaká významná doba, v rámci existencie moderných informačných a komunikačných technológií (IKT) i informačnej bezpečnosti je to však naozaj dosť. Pred vyše štvrťstoročím (v r. 1983) boli v USA publikované vôbec prvé kritériá hodnotenia bezpečnosti počítačových systémov, tzv. Orange book (oficiálny názov „Trusted Computer Security Evaluation Criteria“). Ich autori už vtedy jasne presadzovali princíp, podľa ktorého celková bezpečnosť systému závisí okrem nasadenia rôznych bezpečnostných mechanizmov aj od toho, pokračovanie článku
Ak vychádzam z diskusií na Internete či otázok, ktoré dostávam, nemôžem sa zbaviť dojmu, že nezanedbateľné množstvo ľudí má problémy zorientovať sa v oblasti ochrany osobných údajov. Súvisiaca neistota, či až „strach z neznámeho“ sa prejavuje napríklad až prehnanými názormi na to, čo druhí o mne nesmú vedieť (pamätný je pre mňa prípad, na ktorý ma pred časom upozornili na mestskom úrade nemenovaného krajského mesta – po mimoriadne nekvalifikovanej reportáži jednej televízie o ochrane osobných údajov niektorí občania, ktorí prišli na úrad vybaviť svoje záležitosti, odmietali povedať aj svoje meno...). V dnešnej dobe snáď už nehrozí, že by taký strach z neznámeho viedol až k ceremóniam obetovania „božstvu pre osobné údaje“ (žeby Úrad na ochranu osobných údajov? :-), ktoré by mali zaistiť ochranu našich údajov, asi by však neuškodilo, keby sa viac ľudí vedelo s väčšou istotou orientovať v tejto oblasti. Nie je to však také jednoduché... pokračovanie článku
Zdá sa, že dosť ľudí vníma sociálne siete na Internete predovšetkým ako „cool“ spestrenie života dnešnej generácie, ale len poniektorí si uvedomujú dôsledky toho, že umožňujú pohodlne a bez nasadenie drahých odpočúvacích prostriedkov či manažovanie siete agentov (s rôznorodou motiváciou i spoľahlivosťou) sledovať myslenie či aktivity iných ľudí. Aj keď to vyzerá ako úplná banalita, dôležité je práve to, že sa podstatne znížila náročnosť získavania informácií o tých druhých. A ako sa ukazuje, ponúkanú príležitosť dokážu ľudia využiť. pokračovanie článku
Zdá sa, že oznámenie o tom, že Slovenská republika začína vydávať pasy obsahujúce už aj odtlačky prstov, vyvolalo u nás pomerne slušnú pozornosť. Reakcie v diskusiách na Internete, ale aj otázky, ktoré som v tejto súvislosti dostal, ukazujú, že dosť ľudí vníma túto skutočnosť ako (ďalšie) ohrozenie ich súkromia. Na druhej strane si nemožno nevšimnúť, že značná časť ľudí sa v tejto oblasti orientuje skôr na základe emócií či pod vplyvom filmov a vízií, ktoré súčasnú realitu ešte neodrážajú. Skúsme sa teda na nové pasy pozrieť bez zbytočných emócií. pokračovanie článku
Dosť ľudí v dnešnej dobe cestuje do zamestnania autom aj preto, aby sa vyhli fyzickej blízkosti cudzích ľudí v preplnených autobusoch či iných prostriedkoch hromadnej dopravy. V tomto prípade ide o ich vedomé rozhodnutie "izolovať sa" od časti ľudí. Izolovať sa od ľudí však možno aj inak a nie nutne vedome - jednoducho používaním moderných technológií. Tie nám ponúkajú rôzne možnosti ako si uľahčiť život, sprievodným javom však často je minimalizácia kontaktov s inými ľuďmi. Napríklad - ak človek dostáva výplatu priamo na bankový účet, ani nemusí vedieť, kto u jeho zamestnávateľa zodpovedá za pokladňu. Vďaka internetbankingu a bankomatom sa minimalizujú kontakty so zamestnancami (pobočky) banky. Ani s predavačkou v novinovom stánku sa človek nemusí vidieť – noviny si prečíta na Internete a lístok na mestskú hromadnú dopravu si môže kúpiť zaslaním SMS. pokračovanie článku
Keď 2. novembra 1988 večer vypustil Robert T. Morris do prostredia Internetu dnes už známeho „Internetového červa“ (Internet Worm), zrejme nemal predstavu, čo tým spôsobí. Prebdená noc (základná analýza činnosti červa, ako aj jeho spätný preklad do jazyka C boli ukončené až 3. novembra nadránom) mnohých postihnutých, ktorí sa usilovali zistiť čo sa vlastne deje a ako sa proti dovtedy neznámej hrozbe brániť, ako aj mediálny rozruch boli len prvým a okamžitým dôsledkom. Rýchle odhalenie vinníka (Morrisa prezradil jeho kamarát) však Američanom nestačilo pokračovanie článku
Nikoho by nemalo prekvapiť, že v informačných systémoch štátnej (verejnej) správy sa nachádzajú osobné údaje občanov tejto krajiny – veď na to boli tie systémy vybudované. Kto však má prehľad o tom, kde všade sa jeho osobné údaje vyskytujú, koľko osôb má k nim prístup, ako je to s dodržiavaním zásad pre spracovanie osobných údajov, a ako sú vlastne tieto údaje chránené? Podobné otázky si po sérii medializovaných „trapasov“ opakovane odhaľujúcich laxný prístup štátu k ochrane osobných údajov občanov položili vo Veľkej Británii. Nedávno zverejnené zhodnotenie súčasného stavu stojí za povšimnutie. pokračovanie článku
Čo si myslíte o dokumente, z ktorého sa dá usúdiť, že už čoskoro by sa žiaci základných a stredných škôl mali učiť základy kryptológie, manažmentu informačnej bezpečnosti, riadenia prístupu, aplikačnej bezpečnosti, bezpečnosti prevádzky, sieťovej bezpečnosti, plánovania kontinuity činností a legislatívy a etiky z oblasti informačnej bezpečnosti? Že prečo by sa mali základy kryptológie či manažmentu bezpečnosti učiť aj žiaci, ktorí sa v živote budú pohybovať v iných sférach ako v informatike (a tých je a bude väčšina)? Aj tam budú používať počítače a aj používatelia – počítačoví laici podľa predstáv autora „Návrhu systému vzdelávania v oblasti informačnej bezpečnosti v SR“ (ďalej len „Návrh“) musia na nejakej základnej úrovni ovládať uvedené oblasti (Návrh do kategórie laikov zaraďuje aj žiakov základných a stredných škôl). Návrh zverejnilo Ministerstvo financií 31.marca, nie ako predčasný prvoaprílový žartík, ale ako jeden z dokumentov nadväzujúcich na Národnú stratégiu pre informačnú bezpečnosť v SR (ďalej „Stratégia“), ktorú v minulom roku prijala vláda. Návrh sa vyznačuje viacerými charakteristikami, ktoré má spoločné so Stratégiou, a s ktorými sa akosi neviem stotožniť. pokračovanie článku
Tak nazvali svoju knihu (The New School of Information Security, Addison-Wesley, 2008)) Adam Shostack a Andrew Stewart. Nie je to iba ďalšia z množstva kníh venovaných riešeniam bezpečnosti – na rozdiel od iných diel sa v tomto prípade autori zamýšľajú – a poriadne kriticky – nad samotnou disciplínou informačnej bezpečnosti. Základný prístup autorov naznačuje už názov prvej kapitoly („Observing the World and Asking Why“) – otázka „prečo“ je jedna z kľúčových, prinajmenšom pre prvú polovicu knihy. Stručne – je ťažké sa zbaviť dojmu, že informačná bezpečnosť zlyháva, a preto je namieste zamyslieť sa, prečo je svet IT/bezpečnosti taký, aký je. Ak informačná bezpečnosť zlyháva, asi na to ideme zo zlého konca. Ak dnes neprijímame dobré rozhodnutia, prečo je to tak? pokračovanie článku
Nie azda názornejšieho negatívneho príkladu kam ľudí vedie posadnutosť vedou a vedeckým prístupom, ako súčasná výučba fyziky. Vezmime si trebárs tak elementárny jav, ako je pohyb nejakého telesa – „vedecky“ sa popíše tak, že sa teleso nahradí abstrakciou akéhosi hmotného bodu a ďalej sa už potom pracuje len s bodom, jeho rýchlosťou, zrýchlením, a tak podobne. Zjednodušenie, ktoré sa vďaka výučbe fyziky v našich školách tak zaužívalo, že sa už nikto ani nepozastavuje nad tým, ak sa spätne prenáša do reálneho života. Patavedecký, prísne logický pohľad pritom odhalí, k akým absurdnostiam v reálnom svete takýto postup vedie ... pokračovanie článku
Táto téma sa nás z času na čas objaví, podľa poslednej iniciatívy ohlásenej aj na blog.sme.sk by mala byť dokonca otázkou v referende. Potešilo ma, že v diskusii k zmienenému článku nechýbali triezve hlasy, upozorňujúce na to, že bezpečnosť v tomto prípade neznamená len postarať sa o to, aby boli hlasy správne sčítané, ale že problém je o dosť zložitejší. Na druhej strane ma trochu prekvapilo, že diskutujúci ako keby nedocenili vážnosť hrozby pokračovanie článku
Tak nejako by sa dal preložiť podtitul knihy Grega Contiho (G.Conti: Googling security – How much does Google know about you?) vydanej v októbri 2008. Google v nej autorovi slúži ako ilustratívny príklad toho, ako za používanie rôznych prostriedkov a služieb uľahčujúcich život, platíme „mikroplatbami osobných informácií“ – a to sa samozrejme nevzťahuje len na Google. pokračovanie článku
Vedeli ste, že včera (28. januára 2009) bol celoeurópsky Deň ochrany osobných údajov? Ide o iniciatívu Rady Európy, ktorú podporuje aj Európska komisia, v rámci ktorej sa od organizácií pre ochranu osobných údajov v jednotlivých štátoch očakáva, že budú rôznymi formami šíriť osvetu o ochrane osobných údajov a informovať občanov o ich právach v tejto oblasti a spôsoboch, ako sa môžu domáhať uplatňovania týchto práv. O tom, čo jednotlivé národné organizácie pre ochranu osobných údajov prisľúbili zorganizovať pri príležitosti tohto dňa, sa možno dočítať na webstránke Data Protection Day ... a veru nechýba tam ani náš Úrad na ochranu osobných údajov! Naplánoval 8 aktivít, okrem iného pokračovanie článku
Môj vzťah k prieskumom, obzvlášť k tým, ktoré sa týkajú informačnej bezpečnosti či ochrany súkromia, možno charakterizovať ako opatrne rezervovaný. Na druhej strane im neupieram, že prinajmenšom umožňujú získať približnú predstavu o stave, či „typických“ názoroch na stav, v danej oblasti. A niekedy výsledky prieskumu predstavujú celkom zaujímavé čítanie, obzvlášť ak prieskum kombinuje otázky dvoch typov – tie, ktoré sa pýtajú na skutočnosti a tie, ktoré sa pýtajú na úsudok respondenta. V takom prípade totiž možno porovnať, do akej miery sa nahlásené skutočnosti zhodujú s vlastnými úsudkami respondentov. pokračovanie článku
Kyberterorizmus - téma, ktorú nie tak dávno „spopularizovala“ praktická skúsenosť Estónska. Malá hádanka - ak sa na Slovensku niekto pokúsi vytvoriť priestor na diskusiu či prezentáciu názorov na tému kyberterorizmu či útokov väčšieho rozsahu v kyberpriestore, koho názory tam budú chýbať? pokračovanie článku
Niekedy stačí naozaj málo, aby sa dôležité/osobné údaje dostali tam, kde by sa dostať nemali. Nedávny prípad v Nemecku ukázal, že stačí aby niekto mal chuť na sladké... pokračovanie článku
Informačné technológie, Internet, virtuálny svet ... ich vplyv sa od istého okamihu začína odrážať aj v reálnom svete. Stojí za to sa nad touto témou aspoň z času na čas zamyslieť. Rôzne historky, zábavné pre nezúčastnených, môžu trebárs signalizovať potenciálne problémy s uplatňovaním právnych noriem. Napríklad, nie je virtuálne zabitie ako virtuálne zabitie... vášniví hráči niektorých počítačových hier majú „na svedomí“ množstvo virtuálne zabitých virtuálnych postáv či všakovakých príšer, a nikto im to nevyčíta. Keď však jedna japonská účastníčka interaktívnej hry v návale emócií z náhleho rozvodu jej predstaviteľky vo virtuálnom svete pokračovanie článku
V súčasnosti platný zákon o ochrane osobných údajov bol prijatý v r.2002, jeho ostatná novelizácie v r. 2005. Návrh ďalšej novely mal Úrad na ochranu osobných údajov predložiť v decembri 2007, ale už v októbri požiadal o presunutie úlohy na r. 2008. V legislatívnom pláne vlády na r. 2008 je predloženie návrhu novely plánované na december – podľa programu najbližšieho rokovania vlády však Úrad opäť žiada o zrušenie tejto úlohy a jej presunutie na r. 2009. Odôvodnenie je pritom rovnako (ne)konkrétne ako pred rokom – „Vzhľadom na rozsiahlosť navrhovaných zmien je nevyhnutné niektoré z nich podrobnejšie preskúmať a prekonzultovať, na čo je potrebné časový priestor rozšíriť.“ pokračovanie článku
Pred pár dňami som sa zúčastnil na workshope, ktorý myslím celkom pekne ukázal prístupy k ochrane súkromia v (rôznych krajinách) EÚ a dal tak príležitosť porovnávať so stavom u nás. Celá akcia bola akýmsi vyvrcholením projektu EuroPriSe, do ktorého je zapojená moja miniatúrna (jednoosobová) firma. pokračovanie článku
Skúsme sa zamyslieť nad tým, ako sa postupuje v prípade vývoja softvéru, ktorý o.i. pracuje aj s osobnými údajmi. Podľa mojich skúseností dodávateľ takéhoto produktu zbystrí pozornosť predovšetkým vtedy, keď softvér má spracúvať údaje, ktoré majú celkom jasne charakter osobných údajov, teda meno, priezvisko, adresa a podobne. V tom lepšom prípade si to dodávateľ uvedomí aj sám, v tom horšom prípade ho na to musí upozorniť objednávateľ, v obidvoch prípadoch to spravidla znamená hľadanie odpovede na otázku čo je vlastne potrebné urobiť. Keďže dôraz na ochranu osobných údajov ako ústretový krok ku klientom či aspoň ako marketingový prvok sa u nás ešte nenosí, prioritou býva snaha formálne splniť to minimum, ktoré žiada legislatíva, aby bol pokoj od Úradu na ochranu osobných údajov. pokračovanie článku
Pozorný bádateľ (písomných) prejavov našich predkov si nemôže nevšimnúť, ako títo svojho času zvykli spestriť svoje vyjadrovanie prirovnaním pomocou slovka „ako“. Pyšný AKO páv, dievča AKO lusk, má ho rada AKO soľ, chlap AKO hora, mať sa AKO prasce v žite, pevný AKO skala, tvrdý AKO štolverk, Slovák AKO repa, pije AKO dúha, svieži AKO rybička, stojí AKO drúk, má rečí AKO koza bobkov, pokračovanie článku
Nedávno som posudzoval jeden z pripravovaných výstupov medzinárodného projektu, do ktorého som zapojený. Pokojná atmosféra (nedeľný podvečer) a zaujímavá téma umožnili odpútať sa od každodenných “prízemností” a pokúsiť sa s uvoľnenou mysľou predstaviť si niečo z možných budúcich dôsledkov využívania IT. Aj keď aj v tomto prípade sa prejavila profesionálna deformácia, keď sa moje predstavy krútili viac okolo možných problémov ... vzhľadom na tému posudzovaného dokumentu predovšetkým okolo toho, do akej miery by si súčasný právny systém vedel poradiť s rôznymi situáciami vo virtuálnom svete. Skúsme teda popustiť uzdu fantázii ... pokračovanie článku
Pod ochranou osobných údajov si mnohí predstavujú v podstate len klasické techniky informačnej bezpečnosti, predovšetkým obmedzenie prístupu k údajom, ktoré je potrebné chrániť. Hádam stojí za to pripomenúť príklad, kedy je situácia trochu zložitejšia (aby som zbytočne nenapínal tých, ktorí poznajú princípy útoku inferenciou v štatistických databázach, tak mám na mysli práve to). Môže sa totiž stať, že pokračovanie článku
Pred týždňom vláda schválila Národnú stratégiu pre informačnú bezpečnosť v SR. Návrhu Stratégie, ktorý bol predložený na pripomienkovanie, som onoho času venoval 3 články na tomto blogu, patrilo by sa teda zmieniť sa aj o „konečnej“, teda schválenej verzii. Stručne povedané, pokračovanie článku
V dobe papierovej sme si zvykli, že ak potrebujeme niečo o sebe preukázať, „kontrolórovi“ ukážeme vhodný úradný dokument (napríklad občiansky preukaz) a on si nahliadnutím na údaje v ňom uvedené overí, či spĺňame požadovanú podmienku (napríklad vek). Kým „kontrolór“ bol človek, neprekážalo, keď na dokumente dostal viac údajov, ako na overenie konkrétnej skutočnosti potreboval – implicitne sa rátalo s nedokonalosťou dlhodobej ľudskej pamäte. Kontrola s pomocou počítača znamená možnosť pamätať si veľké množstvo osobných údajov, ako aj efektívne vyhľadávanie medzi nimi, teda aj potenciál na ohrozenie súkromia ľudí. Ak máme obavy, že by „kontrolór“ mohol zneužiť údaje, ktoré mu poskytneme, je dôležité, koľko a akých údajov o sebe musíme predložiť, aby sme preukázali splnenie danej podmienky. Uvažujme napríklad občiansku aktivitu – aby bola petícia, hromadná pripomienka k chystanej zmene zákona, a podobne akceptovaná ako platná, musia jej organizátori o.i. preukázať dostatočnú podporu občanov. Aké údaje sú potrebné, aby sa dalo overiť že danú aktivitu naozaj podporil potrebný počet občanov? pokračovanie článku
Obľúbený kus oblečenia sa stal osudným pre vykrádača cudzích účtov v USA. Zábery kamier z bankomatov použitých v októbri minulého roka pri rabovaní cudzích účtov ukázali len neznámeho chlapíka v mikine ... rovnaká mikina sa vyskytla aj na záberoch z februára t.r. pri ktorých napohľad šlo o iný prípad (inú banku) ... to naznačilo spojitosť medzi týmito prípadmi, aj keď meno páchateľa stále nebolo známe. V rámci inej aktivity agenti FBI monitorovali webstránku používanú kriminálnikmi na predaj a kúpu informácii o bankových účtoch a kartách a o.i. sa začali zaujímať o návštevníka, ktorý uviedol svoje ICQ číslo. Trochu googlovania ukázalo, že osoba s takým ICQ číslom má aj rádioamatérsku volaciu značku ... a ďalšie googlovanie jej fotografie na rádioamatérskych konferenciách v r. 2002 a 2003. Na záberoch z roku 2002 mal dotyčný na sebe ten istý kus oblečenia a mikina sa tak stala tým, čo spojilo meno a adresu (zo zoznamu rádioamatérov) človeka, o ktorom sa dovtedy vedelo len to, že navštívil podozrivú stránku, s konkrétnymi prípadmi trestnej činnosti. pokračovanie článku
V predchádzajúcom článku som v súvislosti s nedávnym prípadom sprístupnenia zoznamu e-mailových adries používateľov Azet-u spomenul, že na Slovensku chýba všeobecne akceptovaná „norma“ etického a zodpovedného správania nasledujúceho po objavení bezpečnostného nedostatku. Krátko nato som sa stretol s autorom článku na blog.synopsi.com, ktorý celý prípad začal. Na stretnutí sme sa o.i. dohodli, že vytvoríme a na diskusiu predložíme návrh textu, ktorý by sa pokúsil charakterizovať zodpovedný prístup k upozorňovaniu na bezpečnostné nedostatky. Inak povedané, ako upozorniť na objavený bezpečnostný nedostatok tak, aby upozornenie bolo účinné a zároveň nedošlo k zbytočnému poškodeniu práv a záujmov tých, ktorí svoje (osobné) údaje zverili organizácii u ktorej bolo objavená bezpečnostná chyba. (Návrh je zverejnený aj na blog.synopsi.com) pokračovanie článku
Každému, koho trochu hlbšie zaujímajú otázky okolo ochrany súkromia či vôbec dôsledkov informatizácie na spoločnosť, odporúčam prečítať si diskusie, ktoré sa rozpútali po zverejnení článku na blog.synopsi.com o tom, ako je (bolo) jednoduché získať e-mailové adresy používateľov Azetu. Ak si odmyslíme emócie, na základe článku a súvisiacich diskusií možno sformulovať otázky, nad ktorými stojí za to sa zamyslieť – už aj preto, že podobné prípady sa zrejme budú vyskytovať aj inokedy. Mám na mysli otázky týkajúce sa získania a sprístupnenia zoznamu e-mailových adries autorom článku ... dá sa hovoriť o porušení zákona o ochrane osobných údajov? A ak áno, kto zákon porušil – autor článku, Azet, alebo aj-aj? A ak aj nešlo o porušenie zákona, bolo konanie autora článku v súlade s etikou? pokračovanie článku
Na rozdiel od prírodných zákonov tie naše „ľudské“ po čase potrebujú aktualizáciu, obzvlášť ak súvisia s tými časťami života, ktoré sú silne postihnuté vývojom (napríklad vo využívaní nových technológií) a s ním spojenými zmenami. To zrejme platí aj pre oblasť ochrany súkromia, ktorá je u nás z veľkej časti legislatívne pokrytá zákonom o ochrane osobných údajov. Skúsme sa, ešte predtým ako sa Úrad na ochranu osobných údajov pochváli čo pre nás v tomto smere pripravil, trochu zamyslieť nad tým, čo z platného zákona (č.428/2002 Z.z. v znení neskorších predpisov) by stálo za zmenu, alebo aspoň diskusiu o možnosti zmeny. pokračovanie článku
Živí sa poradenstvom v oblasti bezpečnosti informačných systémov. Pravidelný prispievateľ do patavedeckých seminárov v Bratislave. Prednáša (informačnú bezpečnosť, čo iné) na UK v Bratislave a Univerzite sv. Cyrila a Metoda v Trnave. Ďalšie informácie o ňom možno nájsť na www.vaf.sk/tim.htm.
