Zákony a předpisy upravující kybernetickou bezpečnost

Při používání informačních a komunikačních technologií a stále většímu objemu dat zveřejňovaných samotnými uživateli nutně došlo ke vzniku žádostí o potlačení či smazání dat, která nejsou aktuální, či která nějakým způsobem poškozují uživatele samotného.

Vize, že digitální svět a jeho uživatelé začnou být anonymní, je dle mého názoru utopií. Nic na tomto tvrzení nezmění ani různé možnosti anonymizace v podobě např. služeb TOR network[1] aj., neboť vždy bude docházet k interakci se světem reálným a vždy budou v digitálním světě figurovat uživatelé, kteří jsou omylní a kteří při sebelepším zakrývání informací o své činnosti chybují. Stejně tak je utopií se domnívat, že technika bude zapomínat. O uživatelích budou nadále sbírána data. To, k čemu dojde, bude další technické nastavení toho, komu se uvedená data budou zobrazovat a komu nikoli.

K „deanonymizaci“ uživatelů bezesporu přispívá jak provázanost jednotlivých nabízených služeb a možnost předávání informací o uživatelích třetím stranám, tak i Internet věcí (IoT).

Se zajímavým řešením „deanonymizace“ uživatelů přišla např. společnost Facebook, vyvíjející metodu DeepFace, která je založena na vytvoření 3D modelu obličeje na základě definovaných výchozích bodů na fotografii.[2] Na základě této metody lze identifikovat i osoby, které nemají Facebookový účet a byly pouze označeny (identifikovány) jako konkrétní osoba. Metoda DeepFace je zde uvedena záměrně, neboť možnost využití této metody je zakotvena ve smluvních podmínkách služby Facebook a umožňuje, byť si to uživatel nebude přát (např. sám se úmyslně neoznačí pod fotografií), jeho identifikaci.

Pokud jde o IoT, pak zásah nových technologií a naše „deanonymizace“ je ještě patrnější. Jako příklad uvedu „smart TV“[3], která při vlastní instalaci opět nabídne smluvní podmínky k odsouhlasení a okamžitě poté „se ptá“ po možnosti připojení k síti Internet. Podrobnějším prostudováním smluvních podmínek můžete například zjistit, že tato televize je oprávněna poskytnout záznam důvěrných a osobních hovorů či aktivit, které „před ní vedete“, a to za předpokladu, že využíváte funkci voice či motion control. V rámci smluvních podmínek budete upozorněni i na tu skutečnost, že zaznamenaná data jsou předávána výrobci a třetím stranám. Jediným řešením, jak zabránit předávání těchto informací, je vypnutí voice či motion recognition. Otázkou je, zda je to skutečně řešení. Osobně si myslím, že řešením by bylo vypnutí či omezení přenosu dat, případně určení subjektu, s nímž jsem ochoten tato osobní data sdílet.

Pokud jde o právo být zapomenut, dokáži si představit hypotetickou situaci, kdy uživatel bude žádat, aby společnost, jež vyrobila danou televizi či jiný počítačový systém s podobnými smluvními podmínkami, vymazala záznam hovoru např. z 1. 3. 2016. Soud i na tento případ aplikuje právo „být zapomenut“, avšak je otázkou, kdo skutečně zaručí uživateli, že jeho data byla smazána ze všech datových úložišť.

Výňatek ze Samsung EULA:

Anonymita na Internetu není a rozhodně v blízké budoucnosti ani nebude. Uživatelé mnohdy, zcela logicky, oprávněně intenzivně bojují proti intervenci státu do svého soukromí, avšak na straně druhé toto soukromí sami dobrovolně a mnohem vstřícněji nabízí všem v okolí (např. na sociálních sítích, v rámci cloudových služeb aj.).

Nemyslím si, že by propast mezi světem reálným a digitálním byla natolik obrovská, a možná i proto mnohdy nechápu bezmyšlenkové chování uživatelů, pokud jde o nabízené služby ze strany ISP. Ano, jako uživatelé získáme v rámci smluvních podmínek, které uzavíráme, nějakou službu. Otázkou je, zda je tento obchod výhodný a zda cena, kterou za tuto službu platíme, je přiměřená.

Osobně si plně uvědomuji tu skutečnost, že moje svoboda, včetně jisté míry „anonymity“ na Internetu, je již v současnosti utopií. Domnívám se, že tato utopie bude v brzké budoucnosti i díky IoT a stále většímu propojování všech „services“ dovedena téměř do situace, ne nepodobné té v Minority Report. Na druhou stranu však věřím, nebo spíše chci věřit tomu, že jsem pořád svobodný a mám právo volby.

Toto mé právo volby pak minimálně spočívá v mém rozhodnutí, zda, případně jaké služby (services) chci využívat a za jakých podmínek. Myslím si, že uživatelé by se měli stát onou skutečnou definiční autoritou Internetu, a to minimálně v té podobě, že projeví svoji vůli a budou se snažit vydobýt si svá práva i na poskytovateli služeb, neboť v případě intervence státu do jejich soukromí se jim to v řadě případů daří.

Ostatně zhodnotit, jak moc je daná služba „agresivní“, respektive jak moc zasahuje do vašeho soukromí, je možné nalézt např. na stránkách: Terms of Service, Didn’t Read: https://tosdr.org/. Když už nic jiného (byť je zde možné použít analogii o “Digitální demenci”), tak alespoň kontrola základních podmínek na této stránce může pomoci uživatelům, aby se v dané problematice částečně zorientovali.

Žijeme v době, kdy jsou informační a komunikační technologie již neodmyslitelně propojeny s každým aspektem našeho bytí. Určitým paradoxem je, že de facto nemáme možnost se tomuto prostupu a vzájemné interakci s ICT vyhnout, což nás současně činí více zranitelnými. 

Díky informačním a komunikačním technologiím a propojeným službám vytváříme odraz své identity či osobnosti ve světě virtuálním.

Naše digitální „já“ má všechny předpoklady pro to být „mnohem trvanlivější“ než naše fyzické tělo. Informace o našich aktivitách v kyberprostoru, naše kyberosobnosti, účty a digitální stopy budou díky archivaci dat a informací o nás žít i po naší smrti.

S tím, jak roste objem dat a informací ukládaných v jednotlivých ISP, začínají být stále více řešeny i otázky jejich efektivního zabezpečení, předávání či vymazání, a to nejen na základě smlouvy uzavřené mezi poskytovatelem dané služby a koncovým uživatelem, ale i na základě nově vznikajících právních předpisů.

Státy, organizace, ale i jednotlivci si čím dál více uvědomují, že informace a data představují významný potenciál, který je ve stále větší míře napadán kybernetickými útoky ať již s cílem zcizení, poškození, znepřístupnění, či vymazání dat.

Pokud chceme v současné společnosti žít a využívat její benefity, není možné se od ICT oprostit a rozhodně nemá smysl tyto technologie přestat využívat. Je třeba se začít učit, jak tyto technologie a služby využívat, jak se vyhnout či alespoň eliminovat následky způsobené kybernetickými útoky.

V kyberprostoru, stejně jako ve světě reálném, neexistuje jedna bezpečnost a jedno zabezpečení, které by bylo možné univerzálně aplikovat na každého. Pokud chceme řešit bezpečnost, je třeba ji řešit komplexně a je třeba individualizovat.