COMPUTERWORLD
Specializovaný týdeník o výpočetní technice
o Internetu
(CW 19/97)

Bezpečnost a soukromí na Internetu: pohled ze střední Evropy

Pavel Houser

Problematika internetového soukromí je pouze částí záležitostí obecnějších, týkajících se naší bezpečnosti na Síti a bezpečností jedince v informační společnosti vůbec. Pokud jde přímo o hackery, věnujeme se jim v tomto čísle v rubrice Internet. K záležitostem bezpečného internetového obchodu a standardu SET jsme se již v tomto Tématu týdne dostali.

Zloději identity

Je třeba si uvědomit, že ztráta soukromí není zdaleka nejhorší věcí, co nás může na Internetu potkat. Krádež a zneužití klíčových osobních údajů je problémem informačního věku a Internet je v tomto ohledu jedním, třebaže zdaleka ne jediným z rizik. The San Francisco Chronicle nedávno uveřejnil případ Kathryn Rambové, proti němuž je příběh Ch. Kantzese téměř úsměvný. K. Rambo se přímo stala obětí "identity theft". Neznámý zloděj (snad některý ze spolupracovníků v zaměstnání) jí způsobil nejen značnou materiální škodu (za její prostředky si pronajal dům, vzal půjčku, zřídil několik nových účtů), ale i ztrátu "dobré pověsti" (kredit).

Ztráta kreditu

Představme si situaci, kdy vám zloděj "vytuneluje" účet a ještě vás zanechá v situaci, kdy jste dlužníkem banky. Na západě je dnes historie vašich účtů a platebních operací součástí vás samotných. Táhne se jako červená nit vaším dalším životem a rozhoduje o tom, zda k vám budoucí obchodní partneři pojmou důvěru a budou vám např. ochotni poskytnout půjčku.

Očistit své jméno stojí člověka postiženého krádeží identity mnoho úsilí; navíc, nešťastník, který je v podobné situaci, je ideálním terčem dalších zločinů -- po určitou dobu je téměř bezbranný. "Očistit jméno může trvat dokonce i řadu let," říká Jon Golinger, tiskový mluvčí California Public Interest Research Group, přední společnosti zabývající se touto problematikou. "Známe dokonce případy lidí, kteří následkem těchto podvodů ztratili zaměstnání. Je to frustrující záležitost celé moderní společnosti."

Kriminalita tohoto typu je dnes v USA vnímána jako palčivý problém. Může se týkat ukradení jakýchkoliv identifikačních údajů (např. Social Security Nubmer -- obdoba našeho rodného čísla, počítačových hesel, čísel kreditních karet i dalších klíčových údajů). Zejména SSN je přitom klíčem k zřizování dalších účtů a podobné aktivitě na úkor oběti. Pokud pachatel sám heslo v zápětí změní, ztratí postižená osoba dočasně nad svými záležitostmi jakoukoliv kontrolu. Může dojít až k situaci, že veškerá (nikoliv pouze elektronická) korespondence začne chodit na novou adresu). Ačkoliv přesné údaje chybějí, odhaduje se, že úhrnná škoda způsobená zloději identity dosahuje až několik miliard dolarů. Navíc většina pachatelů není nikdy zjištěna.

Metody užívané zloději

Odchycení klíčových údajů na Internetu je pouze jednou z možností zločinců této kategorie, třebaže její četnost neustále relativně vzrůstá. Může se stejně dobře jednat o fyzické odcizení dokladů na krátkou dobu, během níž jsou opsány rozhodující údaje, průkaz je vrácen a oběť nic nepozná. Stejně tak může dojít k odcizení údajů např. z databáze banky nebo jiné instituce (zaměstnavatel, prodejce automobilů apod.). Zvlášť nebezpečné, ale často používané, je mít např. heslo napsáno na papíře (v USA -- údajně -- existuje dokonce zvláštní forma kriminality, kdy jsou klíčové informace hledány v koších na odpadky, na skládkách apod.).

Případ Caryl Fullerové, zmíněný rovněž v San Francisco Chroniclu, ukázal navíc nezájem i neschopnost mnoha institucí na zastavení pachatele. Zloděje, jenž jí odcizil SSN a řidičský průkaz, Fullerová viděla, ovšem nepodařilo se jí zabránit mu v činnosti, ačkoliv ihned uvědomila příslušné úřady. Zloděj si díky získané identině dokázal otevřít nové účty a získat i kreditní karty.

"Nespoléhejte na to, že by vás společnost mohla ochránit," říká nyní Fullerová. "Kontaktovala jsem každého, koho jsem kontaktovat mohla, a ničeho jsem stejně nedosáhla."

Je několik možností, jak zloději identity nakládají se získanými informacemi. První a nejčastěji užívaný způsob je vybrat v co nejkratší době (nejčastěji během jednoho týdne) maximum prostředků a pak se "vytratit". Hodnota, kterou takto mohou získat, závisí na limitu kreditní karty oběti (obvykle kolem 5 000 dolarů).

Zloději, kteří mají více odvahy, však mohou dát např. příkaz k malé pravidelné platbě, nebo nechají převádět peníze na jiný účet až do chvíle, kdy vás úplně zruinují. O transakcích určité výše se oběť často po dlouhou dobu vůbec nedoví.

Legislativa a boj proti kriminalitě

Jak je to s kriminálním postihem pachatelů? V Kalifornii jsou údajně problémy se stíháním zneužití cizí identity, pokud přitom nedojde přímo k fyzické krádeži dokladu. Oběť zločinu je za přečerpání svého účtu odpovědná do výše 50 dolarů (kdo ji ovšem nahradí účet plný?). Ještě horší je však už zmíněná ztráta kreditu.

Existuje řada doporučení, jak se chránit. Týká se způsobů nošení dokladů, nepsaní čísel karet a počítačových hesel atd.

Na západě existuje řada institucí, které se vám snaží pomoci -- např. Public Interest Research Group (http://www.privacyrights.org). Tady najdete i řadu informací a návodů, které se zdaleka netýkají pouze Internetu. Dozvíte se, jak se bránit obtěžování po telefonu (v angličtině je to ten módní termín harassing). Jedna z rad pro uživatele Internetu je určena ženám. Žena, pokud se chce v kybersvětě vyhnout obtěžování (zatím na Internetu všude převládají muži), by měla uvádět své údaje tak, aby z nich nebylo patrné její pohlaví... zejména e-mailové adresa by podobné "ožehavé" informace měla skrýt.

Klasifikace internetových aktivit

Internetové aktivity se podle definice Privacy Rights Clearinghouse rozdělují na soukromé, polosoukromé a veřejné. Zastavme se na chvíli u té prostřední skupiny, kde nemusí být na první pohled jasné, co vlastně obnáší. K aktivitám, které sem náleží, patří např. chat probíhající v reálném čase, dále uzavřené konference, jejichž účastníkem se nemůže stát kdokoliv. Nicméně i zde jsou informace nějak skladovány.

Problematika soukromí na pracovišti

Zaměstnavatel se pochopitelně snaží mít pokud možno detailní přehled o aktivitách zaměstnaců na pracovišti. Zaměstnaci se k tomu přirozeně staví jinak. Určit přijatelnou míru povoleného monitoringu je zřejmě nemožné. Nové technologie umožňují zaměstnavateli přirozeně získat mnohem více informací. E-maily, odesílané z vaší firmení adresy, má dnes v USA zaměstnavatel právo číst. Totéž se týká stopy internetového surfování, faxování či telefonování přes Internet. Vůbec celá počítačová aktivita je monitorována. Nejjednodušší je to samozřejmě v případě, že pracujete na terminálech.

Americké organizace, zabývající se ochranou soukromí, jsou nejednotné v záležitosti odposlouchávání telefonních hovorů.

Pohled ze střední Evropy

V porovnání s vysloveně kriminálními případy zlodějů identity, není, myslím si, ztráta soukromí na Internetu věcí až tak tragickou. Obrovský rozdíl mezi tím, zda někdo sleduje vaše diskusní příspěvky nebo číslo vaší kreditní karty, je myslím jasný na první pohled.

Nechci podceňovat význam ochrany soukromí, ale stejně tak se nemůžu ubránit dojmu, že celý problém je na západ od nás nafouklý přinejmenším z části uměle (trochu se mi zdá, že společnost dostatečně materiálně bohatá si vymýšlí problémy, ve skutečnosti pseudoproblémy, aby se měla čím zabývat). Pocit a obava, že vás stále někdo neustále sleduje, spadá už trochu do hájemství psychologie a psychiatrie -- to ovšem zřejmě nebude bránit řadě firem, dodávající vhodná řešení, na tomto "stihomamu" vydělat. Velká většina uživatelů ovšem stejně tak nepotřebuje nové a několikrát vylepšené softwarové balíky a je pouze záležitostí chytrého marketingu -- přesvědčit odpovědné pracovníky v podnicích o opaku.

Nejdůležitější věcí se mi jeví informovanost uživatele. Je dobré vědět, že po vašem brouzdání zůstává v Síti stopa, ale až na výjimečné případy by to mně osobně příliš nevadilo. Mám k tomu ještě jeden důvod. Pokud budou totiž mé zájmy detailně rozebrány a budu "marketingově vyhodnocen", je možné, že následně budu dostávat nabídky, které pro mě budou skutečně zajímavé -- a neveřím tomu, že by bylo možné se vyhnout společnostem, které zasílají maily na všechny adresy, co se jim dostanou do databáze.

Uvedu příklad: Kdosi zjistí, že často čtete konference zabávající se antickou filozofií, a opakovaně jste přispěl do diskuse o Sokratovi. Pokud někdo na druhém konci světa vydá k tématu monografii a zašle vám o tom informaci, je spíše pravděpodobné, že budete rádi. A co se týče informací neužitečných, uživatel si jich stejně na počítač natahá dost, pokud používá libovolný "push" systém -- byť tam má, pravda, pocit, že si vše předem navolil sám.

Ochrana vašeho počítače

Při práci na Internetu se narušiteli do jisté míry otevírá i lokální disk vašeho počíatče. Abyste tomu zabránili, zřejmě nestačí pouze vypínat Javu a ActiveX. Např. i díry v zabezpečení Exploreru umožňovaly manipulovat se soubory na vašem lokálním disku. Lze snad doporučit použití softwaru ochraňujícího paměť (memory protection software).

Důležitost ochrany vašeho počítače nevidím ani tak v tom, že by si někdo mohl vaše soubory přečíst, ale spíše v tom, že by vám je nějaký vtipálek mohl smazat. To už se ovšem příliš netýká soukromí uživatele Internetu, ale přímo zabezpečení počítače a vaší potřeby používat při práci na Internetu potenciálně rizikové nástroje interaktivního WWW.

Plyne z toho pro nás nějaký závěr?

Jaký význam pro nás mají problémy, řešené dnes v USA? Jistě by nikoho z nás nepotěšila ztráta čísla platební karty, ovšem my dnes na Internetu nakupujeme jiným způsobem, kdy platíme při dodání zboží a hrozí nám maximálně to, že např. na serveru Inet budeme umístěni na černou listinu neplatičů (Kterýžto soubor navíc ve chvíli, kdy jsem si jej chtěl prohlédnout, na serveru vůbec nebyl. Nevím, zda byl zrovna aktualizovaný a nebo zda k tomu došlo z jiného důvodu.). Uvidíme po zavedení standardu SET. Tolik tedy k problematice obchodu na Internetu.

O tom, že např. boj proti "harašení" je do značné míry americká mánie, bylo již u nás napsáno dost. Nicméně, jestliže kopírujeme západní svět, zřejmě se tak stane se vším všudy. Proto i otázky ochrany soukromí, jakkoliv mi dnes připadají trochu nadbytečné, získají v budoucnu na důležitosti. Je naivní si myslet, že se vyhneme jevům, které západní svět zažívá a které se obecně nebo alespoň zčásti hodnotí jako negativní -- byť jsme si to možná ještě před dvěma roky mysleli. V budoucnu nás může snadno postihnout drahý sociální stát, stejně jako i obrovský nárůst zlodějů identity a tudíž vzrůstající role ochrany soukromí. Je jistě dobré se na to připravit už dnes.


| <<< | CW o Internetu | COMPUTERWORLD | IDG CZ homepage |