Trest za ohováranie online

Tak a máme prvé medializované rozhodnutie trestného súdu o vine a treste za čin ohovárania online. Podľa tlačovej správy agentúry SITA dostala dievčina po dohode s prokurátorom rok podmienečne. Dôvodom pre uloženie trestu bolo jej konanie, ktorým založila falošný profil inej ženy (pokec.sk) a vystupovala v jej mene, ponúkajúc sexuálne služby.

Odhliadnúc od toho, že si za tento čin samozrejme nepôjde sadnúť do chládku, záznam v registri trestov ju určite nepoteší.Takýto rozsudok snáď výchovne zapôsobí na každého, kto sa chystá o inom zverejniť nepravdivé údaje (ale aj pravdivé – občianskoprávny zásah do súkromia), aspoň tak, že si to predtým rozmyslí.

FBI – tvoj FRIEND na Facebooku

Americká skupina Electronic Frontier Foundation, ktorá sa venuje ľudským právam v digitálnom svete, vytiahla z Ministerstva spravodlivosti USA cez zákon o slobodnom prístupe k informáciám prezentáciu o používaní sociálnych sietí orgánmi činnými v trestnom konaní (a inými subjektami).

Prípadným záujemcom je k dispozícii jej originálne (anglické) znenie: http://www.eff.org/files/filenode/social_network/20100303__crim_socialnetworking.pdf

Heslá naše každodenné

Posledné mesiace sa neustále objavujú informácie o úspešných prienikoch a to aj do organizácií, ktoré pre väčšinu predstavovali nedobytnú pevnosť. Napriek dlhodobým varovaniam odborníkov sa ukazuje, že väčšina populácie pristupuje k ochrane svojich informácií laxne.

K tomu samozrejme patrí aj nesprávny výber hesla, ako aj jeho zlá správa. Podľa nedávnej štúdie až 73% užívateľov používa rovnaké heslo ako pre prístup do bankového konta na minimálne jednom ďalšom webe. Takmer polovica používa rovnaké prihlasovacie údaje aj pre iné portály.

Toto je dobre známa realita aj bez výskumov. Často dokážu útočníci využiť databázy z rôznych, na prvý pohľad nelukratívnych útokov. Vďaka funkčnému predpokladu, že približne polovica ľudí používa rovnaké prihlasovacie údaje aj inde (často je najzaujímavejší email), získa útočník prístup presne tam, kam potreboval. A napriek tomu, že v našich končinách banky využívajú pre prístup ďalšie verifikačné prvky, možností zneužitia každým dňom pribúda. Dobrým príkladom je systém PayPal, ktorý po prelinkovaní bankového konta (resp. platobnej karty) umožňuje získať prostriedky priamo z účtu a to bez dodatočnej autorizácie. Tento systém pre autentifikáciu využíva len email a heslo. Ak teda zvolíte heslo rovnaké ako pre email a k tomuto sa podarí dostať zlodejovi, môžete prísť o viac ako len súkromné informácie.

Štandardná “poučka” pre tvorbu hesla je:

Voľte si také heslo, ktoré nedokáže odhadnúť ani osoba, ktorá vás pozna najlepšie. Heslo by malo byť čo najdlhšie a nemalo dávať vôbec žiadny zmysel. Heslo by malo byť pre každý portál jedinečné, skladať sa s veľkých a malých písmen, znakov a čísel.

Drvivá väčšina ľudí však len potrasie hlavou. Naučiť sa desiatky, dnes už aj stovky hesiel, ktoré budú rozdielne a budú zároveň spĺňať aj spomenuté kritérium je takmer nemožné. Preto väčšina volí heslá, ktoré si dokážu zapamätať a ktoré si dokážu vybaviť vždy, keď ho potrebujú.

Tvorba hesla

Vytvoriť si zložité, na prvý pohľad nelogické heslo a zároveň si ho zapamätať nemusí byť žiadny problém. Stačí si vytvoriť postup, ktorý si pohodlne zapamätáte a budete sa ním riadiť pri každom vytváraní a vlastne aj prihlasovaní. Tu je jeden z príkladov:

  • Na začiatok potrebujete vetu, ktorú si vždy vybavíte. Napríklad vaša obľúbená hláška z filmu, otázka, čokoľvek, čo si dokážete vybaviť kedykoľvek. Napíšte si ju bez diakritiky na kúsok papiera (ten budete musieť na konci ale zjesť, takže možno si ju len povedzte).
  • budes princom vo vlastnom kralovstve
  • Ak je aj vaša veta tak dlhá, ako moja, môžete ju skrátiť. Ak je ešte dlhšia, môžete si vybrať len prvé, druhé, či tretie písmená, atď.
  • budes princom v kralovstve
  • Teraz nahraďte niektoré znaky napríklad inými písmenami, číslami a inými znakmi. Vždy nahrádzajte ako prvé medzery.
  • bIdes_pIincom_v_kIalovste
  • Ako môžete vidieť, ja som nahradil každé druhé písmeno každého slova veľkým písmenom I a medzery znakom _. Dobré je pridať aj čísla, a možno aj iné znaky, napríklad !)(:. atď.
  • bId3!_pI1nco!_v_kIa1ov5t!
  • Znaky môžete prídavať aj iba na koniec, začiatok, atď. Heslo môžete začať používať už aj v tejto podobe, no problémom je, že je opäť len jedno a to isté. Takto by ste sa však rýchlo ocitli znova na tom istom. Pamätať si desiatky viet určite nebudete a preto je potrebné pridať “plávajúcu” zložku do hesla, resp. ňou nahradiť časť existujúceho hesla. Túto zložku pre vás môže predstavovať aktuálny web, na ktorom sa práve nachádzate.
  • bId3!_pI1nco!_v_okIa1ov5t!syn
  • Nič zložité vymýšľať netreba. Ja som na koniec pripísal len prvé tri písmena webu, teda syn. Ak by som podľa tejto logiky robil heslo pre facebook, vyzeralo by takto: bId3!_pI1nco!_v_okIa1ov5t!fac

Áno, aj tento systém vás nemusí ochrániť, ak sa útočníkovi podarí dostať sa k viacerým vašim heslám naprieč viacerými portálmi. Potom sa dá postup zmeny hesla odvodiť a opäť môže znamenať problém. Je len na vás, aký systém tvorby hesla si vytvoríte. Pamätajte si, že heslá by mali byť dlhé minimálne 10 znakov a mali by byť zložené z čísel, veľkých i malých písmen a špeciálnych znakov. Nie je podstatné, koľko bude ktorých, stačí ak bude celé heslo obsahovať po jedno veľké písmeno, jeden znak a jedno číslo. I tak sa heslo stane oveľa zložitejším a vám prinesie vyššiu bezpečnosť.

Správa hesiel

Ak však chcete zaručiť skutočnú bezpečnosť hesiel, je potrebné siahnuť po generátore hesiel a pseudo-náhodne si generovať heslá. Na tento účel si môžete vybrať z dnes už rozmanitej škály správcov, ja vymenujem len zopár z nich.

KeePass
Bezplatný správca hesiel, ktorý sa jednoducho používa, umožňuje synchronizovať heslá medzi viacerými počítačmi, ponúka šifrovanie hesiel na disku a prístup cez hlavné heslo. Je dostupný pre mnoho typov mobilov, i OS pre PC. Je samozrejme aj prenositeľný a použiteľný na USB kľúči.

RoboForm
Môj obľúbený, no platený správca hesiel. Ponúka synchronizáciu medzi kontami, online správu hesiel, šifrovanie hesiel na disku s prístupom cez hlavné heslo. Je dostupný pre všetky platformy a prehliadače. Práve prehliadače sú podstatné, keďže RoboForm na vás “vyskočí” vždy na tom webe, kde máte uložené heslo a zároveň sa potrebujete prihlásiť. Tým veľmi zjednodušuje prácu s heslami. Je samozrejme aj prenositeľný a použiteľný na USB kľúči. Jeho cena je 25 €.

Passpack
Ďalšou možnosťou je Passpack, ktorý som používal v jeho začiatkoch. Začínal ako online úložisko hesiel, dnes už ponúka aj aplikácie pre mobily i PC. Ani on nie je však zdarma, je obmedzený na množstvo hesiel, ktoré si môžete online uložiť a podľa toho sa odvíja aj jeho cena.

Na trhu existuje mnoho ďalších, tieto som však vyskúšal a mnohí z môjho okolia ich používajú s vysokou mierou spokojnosti. Je už len na vás, po ktorom produkte siahnete.

K správe hesiel neodmysliteľne patrí aj narábanie s heslami. Je potrebné držať sa niekoľkých pravidiel, aby sa heslo nedostalo do nepovolaných rúk, i keby pasovalo len na jediný portál, či službu.

  • Heslá si nepíšte na papierik, do žiadnych textových súborov. Používajte správcov hesiel
  • Snažte sa nezadávať heslá na cudzích počítačoch
  • Nikdy neposielajte heslo emailom a ani neodpovedajte na žiadnu žiadosť o vaše heslo
  • Nevyzrádzajte heslo rodine, priateľom či známym. Ak už musíte, nikdy neprezradte systém, ako ste si heslo vytvorili

Dúfam, že vám budú tieto odporúčania nápomocné a ak si ich osvojíte, vyhnete sa v budúcnosti skutočne nepekným problémom.

ZDROJ: BLOG.SYNOPSI.COM

OVCE.sk – Slovak approach to ONLINE PRIVACY EDUCATION of children

I am glad to have an opportunity to write about something unique and unusual. It’s a project OVCE.sk (ovce=sheep) organized by eSLOVENSKO NGO as a part of ZODPOVEDNE.sk information campaign (zodpovedne=responsibly) about use of internet and mobile phones safer.

Main part of this OVCE.sk project is a new Slovak cartoon about sheep placed in roles of young internet users dealing with threats of internet. Sheppard, sheep, wolf and other characters are displaying situation that might be dangerous for children to teach them how to protect their privacy.

There are 4 episodes available in various language versions including Slovak version with English subtitles.

And I would like to draw your attention to these episodes right here embedded from YOUTUBE (posted legally :-)):

First one is called COATLESS and deals with online publishing of naked photos
Second one with name WHITE SHEEP is about discrimination and racism online

 

Third episode SECRET FRIEND is coming with paedophilia and grooming question

 

And last one (up to now) is DON’T DANCE WITH THE WOLF about photo and video misuse

OVCE.sk project is not cartoon only. Homepage OVCE.sk provides a lot of information about online privacy of children. Downloadable content is full of posters, games, wallpapers, screensavers and ringtones with OVCE.sk themes to be constantly present in life of child as a mentor of privacy issues.

This project is definitely something you cannot miss to see and tell to your children about.

Rodné číslo na webe? Hrozia problémy.

Asi nikoho neprekvapí skutočnosť, že rodné číslo je pre ochranu súkromia jeden z kľúčových elementov. Pozitívne je tiež potrebné brať aj to, že ho za kľúčový považujú respondenti  prieskumu ktorý si dal k výročnej správe pripraviť orgán na dozor nad ochranou osobných údajov kompetentný – Úrad na ochranu osobných údajov SR.

Posledná výročná správa uvádza, že „v porovnaní s výskumami realizovanými v apríli 2003 a marci 2005 nedošlo k zásadným posunom v pohľade verejnosti na zisťovanú problematiku, keď najcitlivejší osobný údaj z ich pohľadu je rodné číslo. Myslí si to 76 percent opýtaných.„.

Používanie (alebo inak spracúvanie) rodného čísla je limitované viacerými požiadavkami zákona o ochrane osobných údajov, ktorý rodné číslo alias všeobecne použiteľný identifikátor označuje za tzv. citlivý údaj. Čo však treba brať do úvahy VŽDY? „Zverejňovať všeobecne použiteľný identifikátor sa zakazuje!“ – hovorí zákon. Z toho vyplýva, že je zakázané vyvesovanie rodného čísla po úradných tabuliach, vysielanie v rozhlase či televízií, ale aj prezentovanie na webe alebo iný spôsob zverejňovania.

Publikovanie rodných čísel na internetových stránkach je v každom prípade porušením zákona a možno ho označiť za spracúvanie neprípustnou formou, konanie spôsobom odporujúcim zákonu a podľa charakteru spracúvania by sa určite našli aj iné skutkové podstaty podobne honorovateľné okrúhlou sumičkou z kategórie sankcií (ľudovo pokút), ktoré má k dispozícii príslušný úrad. Pokiaľ na svojom webe niekto rodné čísla má, treba ich odstrániť čo najskôr. To, že je to s nimi myslené úplne vážne dokazuje aj medializovaný súdny spor Ministerstvo spravodlivosti SR verzus Úrad na ochranu osobných údajov SR, keď sa ministerstvo pokúšalo senát krajského súdu presvedčiť o tom, že pre nich zákazy neplatia a nepochodilo (a to nielen doslova).

Pozor však na internetom zverejňované rodné čísla (dajú sa nájsť aj pomocou internetových vyhľadávačov – stačí vhodné kľúčové slovo), lebo keď sa raz ocitnú napr. v cache GOOGLE tak je prakticky nemožné ich odtiaľ dostať.

O Národnej koncepcii informatizácie verejnej správy

O Národnej koncepcii informatizácie verejnej správy sa už napriek jej nedávnemu zverejneniu popísalo pomerne dosť. Niektoré servery a bloggeri stihli okomentovať nielen jej pozitíva, ale aj hrozby, ktoré sa za ňou zakrádajú.

Mnohých možno poteší, že v rámci e-Governmentu bude možné využívať open-source software a stavať by sa malo aj na otvorených štandardoch. Hlása sa tu technologická a softvérová neutralita, takže by v budúcnosti nemalo dochádzať k závislosti na monopolných dodávateľoch.

Plusy pre občana by mali byť zrejmé na prvý pohľad, a tak hľadíme vpred a už teraz sa môžeme tešiť na:

  • služby typu jedenkrát a dosť (pri zmene údajov – priezvisko či adresa – ich stačí nahlásiť len raz)
  • služby riadené udalosťami (niektoré veci by sa konečne mohli diať aj bez toho, aby si ich človek musel odsledovať) – systém by mal napr. notifikovať držiteľa dokladov, že ich platnosť čoskoro vyprší
  • spätnú väzbu
  • dostupnosť 24/7
  • minimalizáciu návštev úradov (úplné odbúranie chodenia po úradoch je však sci-fi)
  • user friedly interface (bez neho informatizácia nemá absolútne žiadny zmysel)

Ďalšia vec, ktorá síce mnohých veľmi neočarí, ale čaká sa na ňu už dlhú dobu, je IFO (identifikátor fyzickej osoby). Konečne by sa malo obmedziť používanie rodného čísla a vo sférach digitálnych by mal byť podporený koncept jednoznačného bezvýznamového identifikátora. Podobné snahy boli známe už v roku 2005 avšak nanešťastie smerovali výrazne dostratena.

Ako je však možné popreklápať dáta len tak zo starých databáz do nových? Nejde len o technickú stránku. Podľa koncepcie by mali byť vytvorené viaceré informačné systémy (register fyzických osôb, register právnických osôb, kataster a register adries), do ktorých by mali byť posúvané údaje z existujúcich databáz (z matrík, obcí, súdov a pod.). V mnohých prípadoch tak môže dôjsť k zmene účelu spracúvania osobných údajov, alebo k poskytovaniu údajov takým inštitúciám verejnej správy, pri ktorých to zákony nepredpokladali. Bez analýzy právneho podhubia (zákonov, ktoré oprávňujú orgány verejnej správy spracúvať osobné údaje) a bez primeranej lavíny novelizácií (čo by mohlo podobné konanie legalizovať v očiach ochrany osobných údajov) sa tvorcovia koncepcie nepohnú ani o krok. Snáď o tom kompetentní vedia.

Tŕňom v oku každého odborníka však zostáva bezpečnosť. Povinnosť chrániť osobné údaje a postarať sa o ich bezpečnosť síce vyplýva z existujúcej legislatívy, ale dosiahnutie primeranej bezpečnosti môže byť v prostredí verejnej správy problematické z viacerých dôvodov (nedostatok kvalitných ľudí demonštroval hlavne Národný bezpečnostný úrad v nezabudnuteľnej afére, ktorú v tejto súvislosti pripomína každý, kto sa k téme vyjadruje).

Nedá sa ešte nespomenúť veta, ktorá bola v súvislosti so zabezpečením informačných systémov prorocky spomenutá na viacerých miestach: „Nespomínam si, že by zákon o ochrane osobných údajov v súčasnom znení šiel až do takej úrovni detailov, že by postihol aj prípad cacheovania osobných údajov, takže (pokiaľ sa medzitým nezmení) sa črtajú zaujímavé dôsledky“.Prezentoval sa ňou J. Vyskoč na svojom blogu a prevzatá bola aj redaktorom zive.sk. Pripomenúť tu snáď treba len, že zákon spravidla neupravuje technické detaily, ale problematiku má pokrývať všeobecne. Akékoľvek dáta v cache, prípadne zálohy (cacheovanie a zálohovanie osobných údajov sú operácie zahrnuté do pojmu spracúvanie osobných údajov) obsahujúce osobné údaje podliehajú aj v tomto prípade zákonnej ochrane. A pokiaľ sú opatrenia zabezpečujúce informačný systém prijaté vo forme bezpečnostného projektu, treba tam zahrnúť aj cache a zálohy.

V tejto chvíli treba asi už len počkať, ako sa všetko okolo informatizácie vyvinie. Predbežne sa však zdá, že Slovenská verejná sprava kráča (či je to smer dobrý, zistíme časom).