Prawa i przepisy regulujące bezpieczeństwo cybernetyczne

Wraz z rozwojem technologii informacyjno-komunikacyjnych i rosnącą liczbą danych publikowanych przez samych użytkowników nieuchronnie pojawiają się wnioski o usunięcie danych, które nie są aktualne lub w jakiś sposób szkodzą samym użytkownikom.

Wizja, w której świat cyfrowy i jego użytkownicy staną się anonimowi, jest moim zdaniem utopią. Nawet różne możliwości anonimizacji w postaci sieci TOR[1] itp. nie zmienią tego stwierdzenia, ponieważ zawsze będzie istniała interakcja ze światem rzeczywistym i zawsze będą użytkownicy w świecie cyfrowym, którzy są zawodni i popełniają błędy w ukrywaniu informacji o swoich działaniach. Podobnie utopijne jest przekonanie, że technologia będzie niepomna. Dane o użytkownikach będą nadal gromadzone. Nastąpi dalsze techniczne dostosowanie tego, kto będzie, a kto nie będzie miał dostępu do tych danych.

Wzajemne powiązanie różnych oferowanych usług oraz możliwość przekazywania informacji o użytkownikach osobom trzecim, a także Internet przedmiotów (IoT) niewątpliwie przyczyniają się do "deanonimizacji" użytkowników.

Ciekawe rozwiązanie w zakresie "deanonimizacji" użytkowników opracowuje m.in. firma Facebook, która rozwija metodę DeepFace, polegającą na tworzeniu trójwymiarowego modelu twarzy na podstawie zdefiniowanych punktów początkowych na zdjęciu.[2] Dzięki tej metodzie można zidentyfikować nawet osoby, które nie mają konta na Facebooku i zostały jedynie oznaczone (zidentyfikowane) jako konkretne osoby. Metoda DeepFace została tu wymieniona celowo, ponieważ możliwość jej wykorzystania jest zapisana w regulaminie serwisu Facebook i pozwala, nawet jeśli użytkownik sobie tego nie życzy (np. nie zaznacza siebie celowo pod zdjęciem), na jego identyfikację.

Jeśli chodzi o IoT, wkraczanie nowych technologii i nasza "deanonimizacja" są jeszcze bardziej widoczne. Jako przykład podam "inteligentną telewizję"[3] , która po zainstalowaniu ponownie oferuje warunki umowy, a następnie natychmiast "pyta" o możliwość połączenia z Internetem. Bardziej szczegółowa analiza warunków może ujawnić na przykład, że telewizor jest uprawniony do udostępniania nagrań poufnych i osobistych rozmów lub czynności, które użytkownik "przeprowadza" przed nim, pod warunkiem że korzysta z funkcji sterowania głosem lub ruchem. W ramach warunków użytkownik jest również informowany o tym, że zarejestrowane dane są przekazywane producentowi i osobom trzecim. Jedynym sposobem zapobiegania przekazywaniu tych informacji jest wyłączenie funkcji rozpoznawania głosu lub ruchu. Pytanie brzmi, czy jest to rzeczywiście rozwiązanie. Osobiście uważam, że rozwiązaniem byłoby uniemożliwienie lub ograniczenie przekazywania danych albo wskazanie podmiotu, któremu byłbym skłonny udostępnić te dane osobowe.

Jeśli chodzi o prawo do bycia zapomnianym, mogę sobie wyobrazić hipotetyczną sytuację, w której użytkownik zwróciłby się do firmy, która wyprodukowała telewizor lub inny system komputerowy o podobnych warunkach umownych, o usunięcie nagrania rozmowy z dnia, na przykład, 1 marca 2016 r. Sąd zastosował w tym przypadku również prawo do bycia zapomnianym, ale powstaje pytanie, kto faktycznie zagwarantuje użytkownikowi, że jego dane zostały usunięte z wszystkich magazynów danych.

Fragment z umowy EULA firmy Samsung:

W Internecie nie ma anonimowości i z pewnością nie będzie jej w najbliższej przyszłości. Użytkownicy często, całkiem logicznie i słusznie, intensywnie walczą z ingerencją państwa w ich prywatność, ale z drugiej strony sami dobrowolnie i znacznie chętniej oferują tę prywatność wszystkim wokół (np. w sieciach społecznościowych, usługach w chmurze itp.).

Nie sądzę, by przepaść między światem rzeczywistym a cyfrowym była aż tak wielka, i może dlatego często nie rozumiem bezmyślnego zachowania użytkowników, jeśli chodzi o usługi oferowane przez dostawców usług internetowych. Tak, jako użytkownicy otrzymujemy usługę w ramach warunków umowy, którą zawieramy. Pytanie brzmi, czy ta umowa jest dobra i czy cena, jaką płacimy za tę usługę, jest rozsądna.

Osobiście mam pełną świadomość tego, że moja wolność, w tym pewien stopień "anonimowości" w Internecie, jest już utopią. Sądzę, że ta utopia w niedalekiej przyszłości, dzięki IoT i coraz ściślejszemu powiązaniu wszystkich "usług", zostanie doprowadzona niemal do sytuacji nie przypominającej tej z Raportu mniejszości. Z drugiej strony wierzę, a raczej chcę wierzyć, że nadal jestem wolny i mam prawo wyboru.

Prawo wyboru polega więc co najmniej na tym, że to ja decyduję, czy chcę korzystać z usług (usług) i na jakich warunkach. Uważam, że użytkownicy powinni stać się prawdziwym autorytetem w Internecie, przynajmniej w formie wyrażania swojej woli i prób wywalczenia swoich praw nawet wobec dostawcy usług, ponieważ w przypadku interwencji państwa w ich prywatność w wielu przypadkach im się to udaje.

Nawiasem mówiąc, aby ocenić, jak "agresywna" jest dana usługa lub jak bardzo ingeruje w prywatność użytkownika, można znaleźć np. Regulamin usługi, Nie czytałem: https://tosdr.org/. Jeśli nic innego (choć można tu zastosować analogię do "cyfrowej demencji"), to przynajmniej sprawdzenie podstawowych zasad i warunków na tej stronie może pomóc użytkownikom w zrozumieniu problemu.

Żyjemy w czasach, w których technologie informacyjne i komunikacyjne są nieodłącznie związane z każdym aspektem naszej egzystencji. Pewnym paradoksem jest to, że de facto nie mamy możliwości uniknięcia tego przenikania i interakcji z technologiami informacyjno-komunikacyjnymi, co jednocześnie czyni nas bardziej podatnymi na zagrożenia. 

Dzięki technologiom informacyjno-komunikacyjnym i połączonym usługom tworzymy w świecie wirtualnym odbicie naszej tożsamości lub osobowości.

Nasze cyfrowe "ja" ma wszelkie predyspozycje, aby być "znacznie trwalsze" niż nasze ciało fizyczne. Informacje o naszej aktywności w cyberprzestrzeni, o naszej cyberosobowości, kontach i śladach cyfrowych będą żyły po naszej śmierci dzięki archiwizacji danych i informacji o nas.

W miarę jak rośnie ilość danych i informacji przechowywanych u poszczególnych dostawców usług internetowych, coraz częściej poruszane są kwestie ich skutecznego zabezpieczenia, przekazywania lub usuwania, nie tylko na podstawie umowy zawartej między dostawcą usług a użytkownikiem końcowym, ale także na podstawie nowo powstających przepisów.

Państwa, organizacje i osoby prywatne są coraz bardziej świadome, że informacje i dane stanowią znaczący potencjał, który jest coraz częściej atakowany w ramach ataków cybernetycznych, mających na celu kradzież, uszkodzenie, uniemożliwienie dostępu lub usunięcie danych.

Jeśli chcemy żyć we współczesnym społeczeństwie i korzystać z jego dobrodziejstw, nie można zrezygnować z technologii informacyjno-komunikacyjnych, a już na pewno nie ma sensu zaprzestać ich stosowania. Musimy zacząć uczyć się, jak korzystać z tych technologii i usług, jak unikać lub przynajmniej eliminować skutki cyberataków.

W cyberprzestrzeni, podobnie jak w świecie rzeczywistym, nie ma jednego systemu bezpieczeństwa i ochrony, który można by powszechnie stosować wobec wszystkich. Jeśli chcemy zająć się bezpieczeństwem, należy podejść do niego w sposób holistyczny i zindywidualizowany.

🔘 Koniec podręcznika. Kliknij przycisk, aby powrócić na główną stronę kursu.