Magazin
TEMA TJEDNA: ZAŠTITA PRIVATNOSTI ILI APSOLUTNA KONTROLA(II.)

Krešimir Krolo: Jedna malena grupa moćnika unutar sustava kontrolira par milijardi ljudi
Objavljeno 14. travnja, 2018.
Amerika i sloboda: NRA pod krinkom zaštite drugog amandmana manipulira nasolnim stanovništvom

S obzirom na to da je doktorirao na temi “Način korištenja internetskih društvenih mreža kao pokazatelj društvenoga kapitala mladih u Hrvatskoj”, razgovor sa zadarskim sociologom, dr. sc. Krešimirom Krolom, bio je logičan izbor vezan uz ovotjednu temu Magazina.

Što nam o tome možete reći o vašem doktorskom radu, koliko je on i danas aktualan, odnosno kakvo je u vezi s tim stanje danas u RH?

- Iz današnje perspektive, podatci, ali dobrim dijelom i teorijski okvir kojim sam ušao u istraživanje, izgledaju prapovijesno. Fundamentalno se promijenila arhiktektura društvenih mreža (posebno Facebooka), ali i struktura korisnika, kao i stilovi korištenja. Teško je dati precizan odgovor kakvo je stanje danas jer istraživanja koja složenije ulaze u odnos krajnjih korisnika i internetskih društvenih mreža nisu dovoljno zastupljena u našem istraživačkom prostoru. No, rekao bih da se može primijetiti pomak od servisa za prvenstveno osobnu komunikaciju, u servis koji služi i za različite oblike političke komunikacije te osnaživanja i potvrđivanja vlastitih ideološko-političkih identiteta.

Koliko su društvene mreže zaživjele u RH, koliko u njima participiraju mladi i jesu li s tim u vezi dostano informirani i o pozitivnim, ali i o negativnim stranama?

- Facebook je neprijeporan izbor broj jedan, no prema nekim podatcima, mladi u Hrvatskoj sve više traže druge komunikacijske kanale (Snapchat, Instagram i sl.), a što je slično i zabilježenim trendovima u svijetu. Jedan od razloga je generacijski, pa onda npr. adolescentima i tinejdžerima današnji Facebook izgleda previše arhaičan i statičan, dok je drugi vezan uz činjenicu da, osim starije generacije, sve više počinju tu platformu koristiti i njihovi roditelji i rodbina. Iako je riječ o digitalnom prostoru, reakcija je slična kao i da se dogodi situacija da se, primjerice, na istom mjestu na kojemu se okupljaju srednjoškolci odjednom krenu okupljati i njihovi roditelji. Logično je da će potražiti novi prostor autonomije u kojemu mogu neometano eksperimentirati s vlastitim identitetom, kao što već mladi u modernim društvima to rade dugi niz godina, sasvim svejedno je li riječ o fizičkom ili virtualnom prostoru.

Što se tiče informiranosti i pismenosti, neka istraživanja upućuju kako ona nije visoka. Iako imaju vještinu korištenja, razvijeniji oblik pismenosti dolazi tek kasnije, no u početcima korištenja društvenih mreža ta vrijednost je dosta niska.

DOPUŠTENI PREKRŠAJ

Od svibnja na snagu stupaju čvršća pravila o zaštiti podataka - što nam o tome možete reći?

- Prema ovome što se dosad moglo vidjeti iz prijedloga pravila, previše je slijepih točaka i nedovoljno dobro operacionaliziranih problema po pitanju zaštite podataka, a koja onda umjesto zaštite mogu uvesti cenzuru i kontrolu. Digitalni prostor je jako osjetljiv i treba dobro promisliti na koji se način trebaju omisliti mjere zaštite, a da se pritom ne ugroze načela slobode govora i izražavanja.

S tim u vezi - kako komentirate aferu s “curenjem”, odnosno zloporabom podataka s Facebooka, i koliko će taj incident nauditi općenito društvenim mrežama (ali i Googleu, recimo)?

- Prvo, valja naglasiti kako nije riječ o “curenju”, već o činjenici kako se trećoj strani DOPUSTILO da pristupi korisnicima Facebooka. Problem koji se ovdje istaknuo jest činjenica da već Facebook raspolaže nevjerojatno detaljnim i velikim podatcima o svojim korisnicima, odnosno da s obzirom na to da javnost na kapaljku dobiva uvid što se s tim podatcima radi, potencijalne zloporabe su velike, prvenstveno kada je riječ o manipulativnim političkim kampanjama i tendencioznim širenjem neistinitih informacija.

Drugo, skandal s Cambridge Analyticom je samo vrh ledene sante, a pretpostavlja se kako je kombinacija precizno skrojenih političkih kampanja s obzirom na detektirane tipove korisnika, izravno utjecala na različite političke procese. Naravno, valja naglasiti kako nije problem običan oglas poput “glasajte za tu i tu političku opciju”, već u činjenici da se mogu s velikom razinom preciznosti oblikovati manipulativne poruke koje će umjesto racionalne reakcije proizvesti onu emocionalnu, i koje će na osnovi “lažnih vijesti” nastojati oblikovati političko mišljenje i stav. S obzirom na to da bi svrha javne sfere i javnog prostora trebala biti racionalna i argumentirana rasprava unutar koje se važe vrijednost i utemeljenost informacija, jasno je zašto cijela ova priča ima potencijalno dalekosežne negativne posljedice za demokratske procese.

Što se tiče posljedica, sumnjam da će dugoročno naštetiti kompanijama poput Facebooka. U ovom trenutku ne postoji dovoljno primamljiva alternativa pa da bi onda egzodus korisnika bio primjetan. Facebook u ovom trenutku jest neizostavan dio naše svakodnevice koji uključuje i privatnu i javnu sferu. Godinama se mudro kultivirao taj međuodnos kako bi i ovisnost o platformi bila to veća. Masovni odlazak danas uistinu znači i odreći se dobrog dijela i informiranja i društvenosti. Savršeni zlatni kavez.

VLASTITI IZBOR

Je li uopće moguća apsolutna sigurnost u komunikacijskim kanalima današnjeg globalno umreženog svijeta?

- Ne, ne postoji savršeno siguran sustav. No, problem nije u činjenici da netko “izvana” može upasti u sustav. Problem je možda upravo u tome što iznimno malen broj ljudi “unutar” sustava kontrolira složen skup podataka o različitim aktivnostima nekoliko milijarda ljudi.

Kakvo je inače stanje sa sigurnosti u području komunikacijskih sustava u svijetu i Hrvatskoj?

- Rekao bih da, uz nekoliko iznimaka, kao i u svemu ostalome, jednostavno nismo dovoljno ukorak s vremenom.

VELIKI BRAT

Možemo li uopće izbjeći da o nama "Vekliki brat", da tako kažem, sve zna i da se to onda, kao u slučaju Facebooka, zloupotrijebi?

- Možemo, naravno. Uvijek postoji mogućnost da odemo. Nije “Veliki brat” dobra usporedba jer je Orwellov svijet bio prisilan i tiranski. Ovdje svojevoljno ulazimo u interakciju sa sustavom koji nas temeljito nadzire. No, ako se dovoljno snažno mobiliziramo (kao krajnji korisnici) i ako se pritisne kompanije da ustupe dio “suvereniteta” u smislu ukidanja monopola nad kontrolom i korištenjem naših osobnih podataka, onda postoji potencijal da se sve te informacije iskoriste za opće dobro, a ne samo za profit i političku manipulaciju. (D. J.)

 

DIPL.ING. IGOR CIGROVSKI Fakultet elektrotehnike i računarstva Sveučilišta u Zagrebu

Nismo vlasnici onoga što o sebi na mreži objavljujemo

Općenito govoreći, obični korisnici najčešće uopće nisu svjesni količine svojih osobnih podataka koju dobrovoljno i neoprezno dijele s nepoznatim osobama. Manje-više, sve "besplatne" usluge, od elektroničke pošte, alata za razmjenu poruka pa do društvenih mreža, od korisnika zahtijevaju registraciju i unos osobnih podataka kao uvjet pristupa usluzi.

- Poslovni model takvih usluga temelji se na ekonomskom iskorištavanju korisničkih podataka i njihovoj prodaji specijaliziranim tvrtkama koje iz takvih podataka stvaraju korisničke profile za daljnju obradu. Najčešća primarna svrha je omogućiti ciljano oglašavanje kako bi se svakom korisniku prikazali upravo oni oglasi koji osiguravaju najveću učinkovitost i povećavaju izglede za kupnju.

PREDNOSTI I MANE

- S pomoću raznih alata, često ugrađenih u same web-stranice, moguće je očitavanjem podataka o korisnikovu računalu, kao što su podatci o hardveru, operativnom sustavu, vrsti i verziji internetskog preglednika i sl., stvoriti jedinstveni "otisak prsta" koji jednoznačno određuje korisnika. Svakim pristupom internetu i posjetom ovakvim web-stranicama (vrlo često su ovi alati za prikupljanje podataka dio web-oglasa, tako da posjećivanje stranica koje prikazuju oglase trećih strana u pravilu već predstavlja rizik za privatnost), postojeći korisnički profil nadopunjuje se novim podatcima, a ako su u pregledniku istovremeno otvorene i stranice na kojima se korisnik i osobno identificirao (npr. prijavom na Facebook ili elektroničku poštu), korisnički se profil može vezati i s konkretnim imenom i prezimenom osobe. Neki od korisničkih profila mogu biti izuzetno detaljni i uključivati podatke kao što su osobni interesi, politička i religijska uvjerenja, kupovne navike, poveznice s drugim profilima i osobama iz raznih krugova u kojima se korisnik kreće, podatci o nekretninama i imovini itd. Objavljeno je već više članaka i svjedočanstava korisnika u kojima se opisuje kako je npr. Facebook korisniku predložio prijatelje, a zapravo daleku rodbinu za koju ni sam korisnik nije znao da postoji.

- Jedini pouzdan način zaštite osobnih podataka je ne koristiti društvene mreže i ostale internetske usluge koje prikupljaju osobne podatke, pazeći uz to da i prijateljima i znancima također zabranimo objavljivanje podataka o nama. Naravno, u današnje vrijeme ta je opcija nemoguća, a zbog raširenosti internetskih tehnologija i njihova prodora u sve aspekte našeg života, izbjegavanje modernih tehnologija donijelo bi više štete nego koristi.

- Apsolutna sigurnost u komunikcijskim kanalima ne postoji. Najbolji primjer su bežične wi-fi mreže - da bi komunikacija između računala i pristupne točke bila moguća, obje strane moraju znati lozinku kojom su šifrirani svi komunikacijski paketi. Ali istu lozinku moraju znati i ostali korisnici pristupne točke kako bi i njihova računala mogla komunicirati na istoj mreži. Budući da se svi paketi bežično prenose radiovalovima, svako računalo koje zna lozinku sposobno je otvoriti svaki paket, pa i onaj koji je bio namijenjen drugom računalu. Ako bi sama komunikacija bila nezaštićena, osobe u blizini, a pogotovo vlasnik pristupne točke, neometano bi mogle prisluškivati promet.

- Kao i mnoge druge tehnologije, internet donosi brojne prednosti, ali i opasnosti kojih treba biti svjestan prilikom korištenja. Kao temeljnu istinu treba prihvatiti da sve što je objavljeno na internetu trenutno izmiče svakoj našoj kontroli. Objavljene podatke nije moguće obrisati ni sakriti, nije moguće ograničiti im pristup, a niti s pouzdanošću znati tko ih sve pohranjuje i koristi. Zbog toga prije objavljivanja sadržaja treba razmišljati i o dugoročnim posljedicama njihova stavljanja u javnost. Danas je npr. posve normalno da poslodavac prilikom zapošljavanja pregleda javno dostupne informacije o kandidatima, u kojem slučaju vam šašave i nevažne slike s novogodišnje zabave mogu prouzročiti ozbiljan problem.

VLASTITA IZLOŽENOST

- Kada govorimo o podatcima koje korisnici nisu sami objavili, kao što su podatci koje automatski prikupljaju neke web-stranice, potrebno je koristiti alate za zaštitu privatnosti kako bi se onemogućilo nepotrebno i neopravdano prikupljanje informacija. Rasprostranjen stav "ma što me briga ako znaju koje stranice posjećujem" vrlo je naivan, jer su interesi nas kao kupaca izravno suprotstavljeni interesu prodavača. Tko bi želio da mu internet-trgovina, bez njegova znanja, konstantno nudi iste artikle, ali po višim cijenama, nego ostalim kupcima, samo zato što stranica zna da korisnik stanuje u dobrostojećem dijelu grada i radi u tvrtki s iznadprosječnim primanjima? Ili tko bi želio da mu osiguravajuće društvo policu osiguranja nudi po znatno višim cijenama jer iz osobnih podataka već znaju da se bavite padobranstvom ili da vam je netko u obitelji imao srčanih tegoba?

- Upravo zato što tvrtke nisu transparentne u prikupljanju i upravljanju našim podatcima, potrebno je biti oprezan i ispravno odvagnuti svako dijeljenje podataka s drugima. Taj je problem nedavno ilustriran još jednim skandalom u kojemu je otkrivena neovlaštena uporaba korisničkih podataka pri čemu je tvrtka Cambridge Analytica zadobila pristup korisničkim profilima facebook-korisnika i njihovih facebook-prijatelja, preuzevši više od 87 milijuna korisničkih profila. O detaljima tog neovlaštenog pristupa i načinima uporabe podataka žustro se raspravlja ovih dana te se od Marka Zuckerberga, vlasnika Facebooka, očekuje i svjedočenje pred Kongresom Sjedinjenih Američkih Država.

- O krajnjim posljedicama toga i sličnih incidenata još je preuranjeno govoriti, ali veliko zanimanje javnosti za taj slučaj kao i reakcija politike daju do znanja da javnost sve više prepoznaje problem zaštite privatnosti i traži adekvatne odgovore. Sve je veći broj inicijativa da se privatnost dodatno zaštiti i uvede više reda u prikupljanje i upravljanje podatcima. Incident s Facebookom će, nadam se, utjecati na povećanje svjesnosti o problemu i potrebi zaštite osobnih podataka.

Vezano za pitanja oko zaštite osobnih podataka, nedavno smo izradili dokument o toj temi za Nacionalni CERT: https://www.cert.hr/32854. U dokumentu se na pristupačan način pojašnjavaju osnovni pojmovi sigurnosti na internetu radi edukacije korisnika i podizanja svijesti o nužnosti uporabe bar osnovnih principa i pravila zaštite sigurnosti.

 

BILJANA CERIN Direktorica Ostendo Consultinga, tvrtke specijalizirane za pružanje savjetodavnih usluga u upravljanju rizicima

Naša najmanja nepažnja može rezultirati strahovitim štetama

Ostendo Consulting tvrtka je specijalizirana za savjetovanje u području upravljanja rizicima, sukladnošću i informacijskom sigurnošću. Osnovana je 2011. u Londonu, a usluge pruža klijentima iz SAD-a i Europe te su mnogi od njih među najuspješnijim svjetskim tvrtkama u svojim područjima. Pretežno se radi o visoko reguliranim industrijama poput financijske industrije, zdravstva, telekomunikacija, energetike i državne uprave.

- Naše usluge uključuju uspostavu sustava upravljanja rizicima, usklađivanje s regulatornim zahtjevima u području upravljanja informacijskim sustavima i informacijskom sigurnošću, implementaciju standarda poput PCI DSS i ISO 27001, a u taj segment se 2016. godine savršeno uklopio i GDPR kao nova europska regulativa za područje zaštite osobnih podataka.

- Iako je GDPR na snazi već dvije godine, u Hrvatskoj se svijest o novoj uredbi razvila tek krajem 2017., zbog čega je trenutno izrazito velik interes i potražnja za stručnjacima i tvrtkama koje razumiju GDPR i mogu voditi projekte usklađivanja. Na Ostendo Consulting to se odrazilo tako da smo u većoj mjeri nego prije involvirani na hrvatskom i regionalnom tržištu, i to izrađujući GDPR projekte za velike klijente iz privatnog i javnog sektora. Upravo zahvaljujući našem velikom međunarodnom iskustvu u tom i bliskim područjima i činjenici da su naši pravni i IT stručnjaci među najprepoznatijima u industriji, sada smo jedna od vodećih GDPR konzalting-tvrtki u regiji. Projekata na kojima radimo sve je više, a tako je i broj članova tima u konstantnom porastu.

- Kako tehnologija napreduje, ali i kako napreduje svijest o mogućim opasnostima i prijetnjama koje nas sve mogu snaći, zaštita privatnosti u informacijskom društvu postaje sve važniji pojam. Samo prošle godine dogodio se niz incidenata koji su rezultirali milijunima povreda osobnih podataka i izrazitim kaznama i gubitcima za tvrtke koje su bile involvirane. Ti incidenti poslužili su kao dobar primjer da i najmanja nepažnja u pitanju sigurnosti, u bilo kojem smislu - pravnom, tehničkom ili organizacijskom - može rezultirati strahovitim štetama za tvrtku, ali i za prava i slobode pojedinca čiji su osobni podatci iscurili. Najaktualniji takav incident ipak je onaj koji uključuje Facebook i tvrtku Cambridge Analytica. Iako će se tek pokazati tko je “pravi krivac”, nepobitna je činjenica da su svi dionici te razmjene odgovorni za taj čin, ali i za sve posljedice koje iz toga proizlaze, a o kojima se naširoko piše u medijima.

- Možemo reći da je jednostavno pričati o zaštiti privatnosti, ali jesmo li svjesni kompleksnosti implementacije kontrola koje će osigurati dovoljnu mjeru zaštite? GDPR tvrtkama nameće razne zahtjeve koje trebaju ispuniti kako bi bili usklađene. U načelu, u kojoj mjeri se zahtjevi odnose na pojedinu tvrtku, ovisi o procjeni rizika za zaštitu osobnih podataka - prikuplja li tvrtka ili obrađuje osobne podatke u velikoj mjeri, ima li među tim podatcima i onih klasificiranih kao posebne kategorije (npr. biometrijski ili zdravstveni podaci, članstvo u sindikatu i sl.), na koji način prikuplja, obrađuje i štiti osobne podatke, kako se dodjeljuju prava pristupa podatcima, dolazi li u obradama do prijenosa u treće zemlje, u kojim obradama je u ulozi voditelja obrade, a u kojima u ulozi izvršitelja obrade... Mnogo je pitanja na koja je potrebno odgovoriti, a potom na temelju tih odgovora, i prema potrebi, implementirati odgovarajuće mjere - imenovati službenika za zaštitu podataka, revidirati postojeće ugovore s partnerima i dobavljačima, educirati zaposlenike i podići svjesnost o zaštiti osobnih podataka na razini poduzeća, implementirati kontrole za prepoznavanje mogućih povreda, osigurati mogućnost brzog i efikasnog odgovaranja na upite ispitanika - to su samo neke od mjera koje pojedine tvrtke trebaju provesti. Ovisno o veličini i kompleksnosti organizacije i njezinih poslovnih procesa, takvi projekti mogu potrajati od dva-tri mjeseca do više od godine dana. Bitno je imati na umu da nije moguće osigurati apsolutnu sigurnost informacijskog sustava - temeljna pretpostavka informacijske sigurnosti je da napadač ima neograničeno vremena i resursa da počini planirani napad - upravo zato je potrebno, u skladu s procijenjenim rizicima, poduzeti razumne tehničke i organizacijske mjere za zaštitu osobnih podataka.

- Osim za tvrtke koje se trebaju uskladiti sa zahtjevima, GDPR je bitan i svim našim građanima jer im omogućuje puno veću kontrolu nad osobnim podatcima koje su u nekom trenutku podijelili s drugim tvrtkama - prodavačima, dobavljačima, pružateljima usluga i sl. Tako, primjerice, građani imaju pravo od organizacija - voditelja obrade - dobiti vrlo detaljnu informaciju o tome koje njihove podatke obrađuju, kako su ih prikupili, zašto i kako ih obrađuju, prosljeđuju li ih trećim stranama (npr. dobavljačima, podizvođačima, partnerima) i zašto, događa li se prijenos osobnih podataka izvan granice EU-a itd. Osim što mogu dobiti informacije o obradama svojih osobnih podataka, oni mogu zatražiti i pristup tim podatcima, ispravak podataka ako je potrebno te u pojedinim slučajevima brisanje, ograničenje obrade i prijenos osobnih podataka. Građanima svakako preporučujem da prate vijesti hrvatskog nadzornog tijela - Agencije za zaštitu osobnih podataka (AZOP) - na kojima će pronaći detaljne informacije o tome kako mogu ostvariti svoja prava u pitanju zaštite privatnosti i osobnih podataka. Uz to, jako dobre informacije pronaći će i na stranicama britanskog nadzornog tijela - Information Commissioner's Office (ICO), a povremeno i sami objavljujemo vijesti s korisnim informacijama na našim stranicama.

 

Možda ste propustili...