Szolnoki Tudományos Közlemények XV. Szolnok, 2011. Dr. Miskolczi Ildikó 1 AMI NINCS A YOUTUBE-ON AZ NEM TÖRTÉNT MEG, AMIT NEM TALÁL A GOOGLE AZ NINCS, ÉS AKI NINCS FENN A FACEBOOK-ON AZ NEM IS LÉTEZIK? AVAGY: MENNYIRE NYOMON KÖVETHETŐ ÉLETÜNK A VIRTUÁLIS TÉRBEN? Felhasználóként mennyire vagyunk követhetőek mi magunk és egyes tevékenységeink a weben? Összeköthetők-e a különböző közösségekben, fórumokon nyilvántartott adataink a virtuális világban? Figyelhetők-e valós időben tevékenységeink a digitális terekben? Milyen digitális nyomokat hagyunk magunk után a virtuális világban és mit tehet a szolgáltató ezekkel az információkkal? Mit várhat el a szolgáltatótól a felhasználó adatvédelmi és adatbiztonsági kérdésekben? A cikkben és az előadásban a szerző áttekintést ad a virtuális terekben történő felhasználói tevékenységek következtében történő alapvető adatvédelmi, adatbiztonsági kérdésekről, gyakorlati, mindenki által megtapasztalható példákkal illusztrálva az elmondottakat. HOW TRACEABLE OUR LIFE IN THE VIRTUAL SPACE? How much are we ourselves and our single activities traceable on the web as a user? Who can connect our data which was kept in the different communities, on fora in the virtual world? Can be been watching in a real time our activities in the digital spaces? How digital traces we leave in the virtual world and what the service provider may make with these informations? What may the user expect from the service provider in data protection and data security questions? In this article the author provides an overview of the virtual spaces of user actions as a result of basic data protection, data security issues, practical examples experienced by everyone being said. BEVEZETÉS A XXI. század mobilizálódó digitális világa lehetővé teszi a felhasználók számára az online alkalmazások használatát, valós idejű tevékenységek, közösségi munkák végzését a virtuális terekben. A világhálón szörfölünk, olvassuk e-mailjeinket, közösségi oldalak szolgáltatásait 1 Szolnoki Főiskola, Gazdaságelemzési és Módszertani Tanszék, főiskolai adjunktus, H-5000 Szolnok, Tiszaligeti sétány 14. Email: miskolczi.ildiko@gmail.com A cikket lektorálta: Dr. Seres György ZMNE, DSc.
vesszük igénybe, online bankolunk, tanulunk, végzünk munkát sok esetben. Fel sem merül a felhasználók nagy részében, hogy ezen szolgáltatások használata még ha sok esetben regisztrációhoz kötött is mennyire biztonságos avagy sem. Ki láthatja a felhasználót a virtuális térben, ki figyelheti tevékenységeit, és milyen adatok, nyomok maradnak utánunk egy-egy site-on? A különböző virtuális terekben hagyott nyomainkat, adatainkat ki és hogyan tudja összekötni, felhasználni? A szolgáltatók figyelik-e és miért a felhasználók szokásait? Kik azok, akik hozzáférnek adatainkhoz, látják tevékenységeinket és naplózzák, archiválják, azokat? Milyen nyomokat hagyunk és mennyire vagyunk követhetőek digitális tetoválásaink alapján? A cikk az alapfogalmak meghatározása után bemutatja a legjelentősebb online adatkezelési veszélyforrásokat a felhasználói szokások tükrében, majd javaslatokat ad, hogy a virtuális terű tevékenységeik során hogyan tudják az egyes felhasználók személyes szférájukat megőrizni. ALAPFOGALMAK Az alapfogalmak körében elengedhetetlen, hogy meghatározzuk, mit értünk az információs rendszerek biztonságos működésének fogalmán. Az információs rendszerek biztonsága három alapvető dolgot jelent: - a rendszer erőforrásainak sérthetetlenségét; - előírás szerinti hozzáférhetőségét és rendelkezésre állását, valamint - az előírt műveletek pontos végrehajtását. Ezek a kritériumok fokozottan igazak a virtuális térben végzett munkákra, amikor is a felhasználó nem saját számítógépe, vagy egyéb IKT eszköze erőforrásait használja tevékenysége során, hanem ún. felhő-alkalmazásokat, azaz a világhálón jelenlévő szolgáltatók által nyújtott és elérhetővé tett erőforrásokat - legyenek azok infrastruktúrák, felhasználói környezetek, szolgáltatások vagy szoftverek. Az adatvédelem mint jogi fogalom magánszemélyek adataikkal való önrendelkezési jogát hivatott biztosítani, nemzetközi és nemzeti jogi szabályozással. Az adatvédelem az összegyűjtött adatok sérthetetlenségét, integritását, használhatóságát és bizalmasságát lehetővé tevő technológiák és szervezési módszerek összessége. A fogalomról a személyes adatok 2 körében beszélhetünk, amikor is a felhasználó információs önrendelkezési joga nyer teret. Az adatvédelem tehát nem más, mint a személyes adatok gyűjtésének, feldolgozásának és felhasználásának korlátozása, az érintett személyek védelmét biztosító alapelvek, szabályok, eljárások, adatkezelési eszközök és módszerek összességével együtt 3. Ennek értelmében az adatkezelők a természetes személyek személyes adatait csak azok beleegyezésével szerezhetik meg, tárolhatják és dolgozhatják fel. A személyes adatok védelme magában foglalja a fizikai adatvédelmet (adatbiztonságot) is, amely a megsemmisüléstől, illetéktelen változtatástól, megtekintéstől, felhasználástól vagy továbbítástól védi azokat. Az adatbiztonság tehát nem más, mint az adatok sérthetetlenségének biztosítása, és a jogosultak számára való rendelkezésre állása. 2 A személyes adatokkal foglalkozó jogszabályok: A Magyar Köztársaság Alkotmánya 1949. évi XX. Tv. 59., A Magyar Köztársaság Alkotmánybírósága az 15/1991. számú határozatának II. Fejezetében, valamint az 1992. évi LXIII.tv. A személyes adatok védelméről és a közérdekű adatok nyilvánosságáról 3 1992 évi LXIII.tv. A személyes adatok védelméről és a közérdekű adatok nyilvánosságáról 2
Kissé sarkosan fogalmazva: az adatvédelem tehát azt mondja meg, hogy mit kell, és a biztonság kritikussága függvényében mennyire megvédeni, míg az adatbiztonság, az informatikai biztonság azt határozza meg, hogy az adatvédelmi, titokvédelmi osztályozást figyelembe véve az informatikai erőforrásokat hogyan kell megvédeni, valamint a védelmi intézkedéseket meg is teszi. Az adatvédelem jogi, míg az adatbiztonság informatikai fogalom. AZ ONLINE TEVÉKENYSÉGEK Az internet széles körű és rohamos elterjedésével, alapvető fontosságú kérdéssé vált az online adatvédelem és adatbiztonság kérdése. A felhasználók, a szolgáltatók egyre több adatot tartanak nyilván digitális formában, egyre több adatot osztanak meg magukról másokkal. Ma már szinte mindenki használ valamilyen online munkakörnyezetet nap, mint nap. Dolgozunk, vagy adatokat tárolunk a weben, e-mail-ezünk, társadalmi hálókat építünk, szoftvereket használunk szolgáltatásként vagy éppen infrastruktúrát. Természetes igénnyé válik, hogy azok a rendszerek, szoftverek, segédprogramok, amelyek a digitális adatkezelést és tárolást lehetővé teszik, biztonságosan működjenek. Az emberek többnyire csak akkor tulajdonítanak ugyanis nagy jelentőséget ezen technológiáknak, amikor azok nem működnek megfelelően. A számítási felhő használata egyre népszerűbb, elsősorban, mint pénz-megtakarítási technika és forma [1]. Ugyanakkor veszélyes a cégek adatait vagy személyes információkat olyan virtuális térben lévő rendszeren tárolni, amely biztonsági lyukakkal rendelkezik. Jelen pillanatban ez jelentheti az ún. felhő-technika 4 használatának árny-oldalát: a felhő-technika ugyanis nem tudja védeni az adatainkat, ha magunknál tartjuk az irányítást (azaz nem tesszük hozzáférhetővé a felhőszolgáltatások számára adatainkat), a felhőben viszont pont az irányításról mond le a felhasználó. Tovább bonyolódik a helyzet, ha a felhőszolgáltatónk alvállalkozója valamely szolgáltatónak, vagy ő maga adja tovább alvállalkozónak az adattárolási jogokat írja Sarrel [1]. A XXI. század digitalizált világa kritikus adatvédelmi szempontból, hiszen a nagy szolgáltatók keresőmotorjai könnyedén felfedezik a felhasználói profilokat. Így nem csupán a különböző adatbázisokban tárolt adataink (pl. bűnügyi, egészségügyi, szociális, állás, pihenés, biztosítás, vásárlás ) kapcsolhatók össze könnyen, de korszerű mobileszközökkel az adatmozgások valós időben követhetőek a virtuális térben. Ráadásul a digitális adatok könnyen tárolhatók meghatározhatatlan ideig, illetve reprodukálhatóak a virtuális téren belül. Azzal, hogy az egyének a digitális térben élnek, dokumentálják életüket, tevékenységeiket, egyben lemondanak arról a lehetőségről, hogy kezükben tartsák az irányítást legalább is az adatkezelés tekintetében mindenképp. Az online tevékenységek figyelésével a szolgáltató olyan hálózati adatokhoz tud hozzájutni, amelyek publikussá tétele az egyén, de vállalkozások, számára is aggodalomra adhat okot. A virtuális terekben a számítási felhőben tárolt adatok pillanatnyilag egyik nagy problematikája biztonsági szempontból, hogy miután 4 Technikai értelemben nem más, mint szerverek, kapcsolatok, szoftverek és hálózatok. A felhőben való munka során a különböző, a weben található eszközöket, alkalmazásokat úgy tudjuk használni, hogy azokat nem kell letöltenünk saját számítógépükre vagy más mobil IKT eszközünkre, ezáltal nem terheljük saját erőforrásainkat. A szükséges alkalmazások a virtuális térben (a világhálón) szolgáltatók által nyújtott ingyenes vagy csekély bérleti díj fejében használhatóak. 3
nem saját szerveren tároljuk adatainkat, a felügyeletbe, adatbiztonságba kevés beleszólásunk van, mint felhasználónak. Ezeknek a kérdéseknek a kezelése mind személyes, mind szervezeti szinten már túlmutat egy szakmailag jól képzett rendszergazda alkalmazásán. A számítógépek ma már egymásra támaszkodnak, egyre nagyobb hálózatokat alkotnak, egyre több olyan szolgáltatás jelenik meg, amely időt, költséget és erőforrást takarít meg a felhasználónak, ha azokat szintén a globális hálózaton, az interneten érjük el és használjuk. Ezek az online elérhető szolgáltatások, egy hatalmas felhőt jelentenek, amelyeket az egyedi vagy hálózatba kapcsolt számítógépek egyaránt elérhetnek és használhatnak. Az ilyen típusú úgynevezett felhő-szolgáltatások használata során a vírustámadások, és a jogosulatlan hozzáférések jelentik a legfőbb veszélyforrást a felhőben tárolt adataink számára. A felhő-szolgáltatások nyitott használhatóságának tehát ára van. Egyre több szolgáltató jelenik meg az egyre növekvő felhasználói igények kielégítésére, egyre több és több alkalmazás használatának lehetőségével. Biztonsági szempontokat előtérbe helyezve ajánlatos ún. zárt, (regisztrációhoz kötött) felhőkben dolgozni, illetve olyan szolgáltatónál, amely szolgáltatói garanciát ad a biztonságos működés és alkalmazhatóság tekintetében. Kockázati pontok A biztonságos felhő-alkalmazásnak ilyen módon több kockázati pontját tudjuk meghatározni. A felhő-szolgáltató részéről ilyen pontok az alkalmazott technológia vagy a felhő rendeltetésszerű működéséhez előírt folyamatok biztonságos működtetésének kérdése. Ezeknek a kockázati pontoknak a csökkentését hivatottak kezelni a folyamatos és egyre szélesebb körű szabványosítási kísérletek a felhő-technológiában, amelyek napjainkban vannak kialakulóban. A szabványosítás másik, pozitív hozadéka, hogy a szabványok használatával a felhők egymásba integrálhatóak, és egymás között átjárhatóak lesznek. A felhő-alkalmazások másik kockázati oldalát maguk a felhasználók jelentik. Sarkalatos kérdés, hogy milyen adatokat tárolunk és dolgozunk fel a felhőkben, kiknek és milyen jogosultságot adunk az adatokhoz való hozzáféréshez és adatmanipulációs 5 tevékenységekhez. 2011 elején megjelentek az ún. okos felhő-szolgáltatások, amelyek képesek monitorozni a felhasználók adatait, eszközhasználatukat. A lehetséges veszélyek mellett azonban ennek a technológiának köszönhetjük, hogy az alkalmazásszerverek képesek interpretálni, azaz eszközbaráttá tenni egy-egy weboldal megjelenését, képernyőre szabni annak tartalmát. Ugyanakkor megkönnyítheti a (személyre) eszközre szabott szolgáltatások nyújtását is [2]. Az egyre nagyobb és gyorsabb mértékben terjedő mobileszközök használata [3] további kockázatokat rejt több szempontból is. Ezek közül felhasználói probléma, hogy az ilyen eszközökön könnyen keveredhetnek a magán- és hivatalos adatok. Nem megfelelő adatkezeléssel, védelemmel komoly kockázati pontot jelenthet szenzitív adatok védelmében. A mobileszközök szoftveres védelme sem mindig megoldott, ami egy újabb biztonsági rés lehet. Szintén a mobil eszközhasználatban rejlő lehetséges veszélyforrás a vezeték nélküli hálózatok, csatornák használata, amelyek esetében fokozott figyelmet kell fordítani a biztonságra. 5 Adatmanipuláción jelen esetben az adatok bárminemű kezelését, megváltoztatását, módosítását, mozgatását értem, rendeltetésszerű működést és felhasználói tevékenységet, nem pedig rosszindulatú károkozást feltételezve. 4
A hitelesítés szerepe A felhő felhasználói környezetben a szoftverek és szolgáltatások kiválasztásának, biztonságos használatának és értékelésének alapvető tényezője, hogy a szolgáltató feleljen meg mindazon biztonsági előírásoknak, amelyek a felhasználók részéről többek között a jogosultság szerinti hozzáférést és biztonságos munkát jelentik [4]. Ilyen tényezők: különböző tervezési hibák, rossz javítás, frissítés, érzékeny adatok mozgása hitelesítés nélkül problémákhoz vezet; szoftverek tekintetében: szolgáltató rendelkezzen a szoftver kezelésének (szállítás, frissítés ) kötelezettségvállalásával; a licencben foglaltaknak megfelelően a szerződés egész időtartama alatt a megfelelő szoftverfrissítések biztosítása; a szoftver kezdőoldalán megjelenített biztonsági előírásoknak való megfelelés megjelenítése; a kompatibilitás, (védelmi tervezés és szerkezetek az egyéb alkotóelemeinek összhangja a virtuális környezetben), azaz biztosítani a szoftver kompatibilitását a virtuális környezet más összetevőivel; biztonsági házirend és eljárások kidolgozása és alkalmazása: fizikai és logikai biztonsági gyakorlatok folyamatok és azok kezelése; Szolgáltatói feladatok: o lehetővé teszik az időszakos biztonsági értékelések elvégzését, o biztonsági események észleléséhez felelősségi köröket rendelnek (jelentéstétel, válasz és kockázatcsökkentési módok), o a menedzsment részére a megoldatlan biztonsági problémákról jelentenek. Az adatkezelés alapvető biztonsági szabályai: prioritás az érzékeny adatoknak, és a felhasználói adatoknak ( szolgáltatói garancia kérése); konkrét útmutatásokat adni a szolgáltatóknak áthelyezéskor; adatvédelmi előírások betartása; szerződésbe építeni: o magánéleti adatok védelmét, o kijelenteni, hogy a felhasználó személy vagy szervezet az adatok tulajdonosa, saját adataihoz belátása szerint bármikor hozzáférhet. Szabványok jelentősége [4]: ha saját felhőt üzemeltetünk vagy nem döntöttünk még nyilvános felhő használat szolgáltatójáról; másokkal való kommunikáció elősegítése; más rendszerekkel való együttműködés elősegítése; hosszú távú tervek megvalósítása esetén. 5
ELŐNY Hatékonyságnövelés Adatbiztonság Skálázhatóság Gyorsabb reakcióidő PRIVÁT FELHŐK KIHÍVÁS Hatékonyságnövelés Adatbiztonság Skálázhatóság NYILVÁNOS FELHŐK ELŐNY KIHÍVÁS Hardver erőforrások rugalmasabb felhasználása Adatbiztonság Alacsonyabb bevezetési és üzemeltetési költségek Megfelelőség biztosítása Költségek tervezhetősége Szolgáltatási szintek meghatározása Hatáskörök kezelése 1. táblázat. A privát és nyilvános felhők használatának előnyei és kihívásai (készítette: Miskolczi Ildikó) A táblázatok alapján látható, hogy a felhő alapú technológiák használatának mind a privát, mind a publikus felhő-szolgáltatások használatakor jelen pillanatban legkritikusabb pontja az adatbiztonság 6, a megfelelőség és a költséghatékony működés kérdése. Az adatszivárgás lehetséges okai (1. ábra): 1. ábra. Az adatszivárgás lehetséges okai (készítette: Miskolczi Ildikó) 6 Teljes körű adatbiztonság eléréséhez tisztában kell lennünk az adatok életciklusával : adatok létrehozása, importálása, gyűjtése, feldolgozása, tárolása, továbbítása, exportálása. Ezen szakaszok bármelyike tartalmazhat többszörös sebezhetőséget [1]. 6
A szabályozás kialakításának lépései: 1. Elfogadható kockázati szint rögzítése. 2. Védelmi intézkedések, szankciók előírása. 3. Ellenőrzés garantálása. A kialakítandó intézkedéstervnek több összetevőből kell állnia. A biztonság megőrzésének egyik alapvető feladata a kockázatok kezeléséhez szükséges védelmi rendszabályok, intézkedések, eszközök meghatározása, megvalósítása és alkalmazása. Ezen intézkedések irányulhatnak a fenyegetéseket lehetővé tévő sebezhetőségek kiküszöbölésére, vagy csökkentésére, valamint a fenyegetések elrettentésére, megelőzésére, észlelésére, az ellenük való védelemre, bekövetkezésük esetén káros hatásaik csökkentésére, majd következményeik felszámolására. - írja Munk Sándor [5]. A biztonságos működtetés és felhasználói munka alapvető követelményei: az események folyamatos, valósidejű naplózása; a naplók sértetlenségének garantálása; a naplók feldolgozásának lehetősége; a szabályok betartatásának garantálása; gyors reagálás biztosítása; beavatkozás a folyamatokba, a felelősök azonosítása; incidenskezelés, bizonyító erejű állományok és adatok; rugalmasság, testreszabhatóság; hatékony üzemeltetés költségek, erőforrások. A védelem kialakításának lépései (2. ábra): 2. ábra. Az adatszivárgás megelőzésének lehetséges megoldásai (készítette: Miskolczi Ildikó) Megoldások: körültekintő szolgáltató választás; biztonsági másolatok készítése akár felhőben, akár saját merevlemezen vagy egyéb adathordozón; 7
a felhasználók tevékenységeinek naplózása; jogosultságok szerinti hozzáférés. Szolgáltató választás szempontjai: A felhő-szolgáltatások és -szolgáltatók tömeges megjelenése az elmúlt egy-két év eredménye. A gazdasági verseny szükségszerűen magával hozza a szolgáltatói kör és a szolgáltatások számának ugrásszerű növekedését is. Azonban nem minden szolgáltató nyújt garanciát és biztonságos működést, tárolást adataink számára. A nagy szolgáltatók (mint pl. Google, Yahoo, Microsoft ) saját felhő-szolgáltatásaikat úgy fejlesztik és alakítják, hogy abba a kisebb szolgáltatók integrálhatóak legyenek. Egy nagy szolgáltatót célszerűbb és biztonságosabb választani, hiszen rendelkezik olyan alapvető a felhasználó szempontjából fontos biztonsági megfelelésekkel, mint: - tanúsítvány, - jogi garancia, - a biztonsági szoftverek területén elismert és szabványos technológiákat használó szolgáltatói garancia. A Google, tovább növelve a felhőszolgáltatásai használatának biztonságát, 2010 végén a GoogleApps-ben, 2011 február közepén pedig a Gmail-ben is bevezette a mobileszközt használók számára a kétszintű azonosítás lehetőségét. Praktikusan ezt azt jelenti, hogy a felhasználó az első kapun bejutva (felhasználói név és jelszó) sms-ben kap egy kódot, amely rövid időkorláttal használható fel. Ezt a kódot, jelszót beírva jut be a rendszerbe. (A kétszintű azonosítás logikája, az online banki szolgáltatások kétszintű azonosítási logikájának analógiájával valósul meg.) [6]. Felhő-használat lehetséges okai Sok felhasználó szkeptikus ma még a felhő-használattal szemben, mondván nem biztonságos, ha az adatainkat kiadjuk, és egy szolgáltatóra bízzuk azok biztonságát a virtuális térben. De arra nem gondolnak, hogy abban a pillanatban, mikor az internethez csatlakozunk (ilyen eset például, ha egy felhasználó a szövegszerkesztője beépített fordítójával fordít le egy dokumentumot, banki utalást végez, levelet olvas, böngészik ), amikor internetes adatforgalmat bonyolítunk a szervereinkkel, máris a felhőkben dolgozunk. Így a felhasználó profiljától függően számos oka lehet a felhőhasználatnak: - IT 7 költségcsökkentés; - nem IT költségcsökkentés; - kis intézmény, saját hálózat nélkül; - gyorsan, vagy ideiglenesen szükséges szolgáltatások; - együttműködés külsősökkel; - több telephely összeköttetése; - alkalmazotti visszaélések kiküszöbölése; - távtanulás, távmunka; - beruházások elkerülése; - kiszámítható költségek; - védelem a belső ellenségtől, adatlopásoktól. 7 IT - információtechnológia 8
A felhő-környezet jogi kérdései A jogi kérdések közül a legalapvetőbb, hogy ki a tulajdonosa, birtokosa a felhőben tárolt adatnak? (A felhasználó, aki a felhőszolgáltatást igénybe veszi, vagy a szolgáltató, aki tárolja a felhasználó adatait?) A kérdés megválaszolásánál fontos, hogy a tulajdonjog és a birtoklás ténye, valamint a tulajdonos és a birtokos személye jelen esetben elválik egymástól. Másik fontos jogi kérés a bizalmas, titkos adatok kezelésének kérdése. Vannak olyan üzleti, államtitoknak minősülő bizalmas adatok, amelyek soha nem tölthetőek fel nyilvános kiszolgálókra. Újabb jelen pillanatban még nem szabályozott - kérdés a projectek közreműködőinek, alvállalkozóinak tulajdonjoga. Az Európai Unióban érvényben lévő bonyolult jogi környezet ellenére, a jelenlegi jogi szabályozás ezekre a kérdésekre még nem ad választ. A felhő alapú számítástechnika alkalmazói azt várják, hogy az Európai Bizottság felülvizsgálata [7], [8] során lazít a merev adatvédelmi irányelven, amelyet még 1995-ben, az internet nagyon korai szakaszában alkotott meg. A felülvizsgálat 2009-ben kezdődött, befejezése legkorábban 2011 közepére volt várható. A jogi hiányosságok ellenére a szolgáltatók igyekeznek a felhasználók számára nyilatkozati úton biztosítani az adatvédelmi és adatbiztonsági kérdésekben a felhőkörnyezet használatának biztonságát. Ilyen jogi nyilatkozatot nem biztosító szolgáltatónál nem ajánlatos szolgáltatást igénybe venni. Egy másik lehetséges megoldás a Szolgáltatási dokumentum (Terms of Service - ToS) alkalmazása, amit például a Google alkalmaz. Minden Google dokumentum segítség menüpontjának elején, mint minőségbiztosítási tanúsítványt odateszi a szolgáltató [9]. HOGYAN VÉDHETJÜK MEG MAGÁNSZFÉRÁNKAT? Az eddig leírtakból láthatjuk, hogy mind szolgáltatói, mind felhasználói oldalon számos biztonsági intézkedésre, szabályozóra és az azokban foglaltak következetes végrehajtására van szükség ahhoz, hogy a virtuális térben végzett tevékenységeink a lehető legbiztonságosabbak legyenek. De minden szabály betartása mellett is vannak a felhasználó által szem előtt tartandó íratlan szabályok. Ilyenek: - Ne adjunk meg magunkról regisztrációkor, vagy akár adatlapon sok, sokféle adatot, csak a feltétlenül fontos adatokat. Minél több információt teszünk publikussá vagy csak a rendszer számára elérhetővé magunkról, annál több információt tárolhat rólunk egy-egy szolgáltató. - Különböző rendszerekben ne egy azonosító e-mail címmel regisztráljunk. Használjunk több címet, ezeket váltogassuk! Gyakorta és egyre gyakrabban tapasztalható, hogy például Facebook-os regisztrációval elérhetünk más zárt oldalakat is, nem csak a Facebook-ot. 9
3. ábra. Bejelentkezés a Prezi oldalára Prezi-s vagy Facebook-os azonosítóval - Vagy, ha belépünk Facebook profilunkba, és úgy látogatunk más web-oldalakat, zárt rendszerek nem is kérnek azonosítót a felhasználótól, mert automatikusan a háttérben beléptetik a felhasználót annak Facebook-os profiljával. Ezt többnyire a felhasználó csak úgy veszi észre, ha a monitor jobb felső sarkában látja, hogy bejelentkezve, anélkül, hogy valóban bejelentkezett volna az adott zárt oldalra. - A böngészők nagy részét (pl. a Google Chrome-ját) úgy fejlesztették, hogy figyeli a felhasználó által gyakran látogatott oldalakat, és új lap nyitásakor automatikusan ezeket ajánlja fel. 4. ábra. A Google Chrome új oldal nyitása - A felhasználó által gyakran látogatott anyagok figyelésén túl a Youtube tovább megy azzal, hogy fel is ajánl a felhasználó által gyakran látogatotthoz hasonló témájú tartalmakat megtekintésre. 10
5. ábra. A Youtube felajánl videókat a felhasználó korábban nézett videói alapján, hasonló témákban - Amennyiben a Google rendszerben van valakinek kialakított profilja, hasonlóképpen járhat, mint sok oldal esetében a Facebook-kal. Belépve a Gmail levelező rendszerbe, és ott online maradva, ha pl. elindítjuk a Youtube oldalát, azonnal látható a jobb felső sarokban, hogy máris bejelentkeztetett a rendszer a Gmail-címmel. Egyben, mint ahogy az a következő ábrán látható is, automatikusan észreveszi, hogy ezzel az e- mail címmel egy Youtube csatornát már regisztrált a felhasználó. 6. ábra. Youtube profil felismeri és automatikusan belépteti a felhasználót a Google azonosítóval - Ebben az esetben felajánlja a rendszer, hogy kössük össze a Google rendszerünket a Youtube-al, különböző opciók szerint. 11
7. ábra. Youtube és Gmail összekapcsolása - Az már nem újdonság egy felhasználó számára sem, hogy a neten böngészve a számítógépünk IP címét megőrzik a látogatott oldalak. Erre látunk figyelmeztető üzenetet a wikipédia oldalán. 8. ábra. Wikipédia szerkesztéshez megjegyzi a gép IP címét - A felhasználó által látogatott oldalakat nem csupán a szolgáltató regisztrálja és őrzi, hanem saját gépünk is. Pl. a Google Chrome Előzmények menüpontja pontosan őrzi a látogatott oldalakat. Rosszindulatú oldalak látogatása esetén ilyen előzmények után nem is sejti a felhasználó, hogy a látogatott weboldal továbbra is figyeli az ő gépét, felhasználói szokásait. 12
9. ábra. Chrome történet - Bizonyos oldalak nem csak a háttérben leskelődnek és rögzítik a felhasználói tevékenységeket, a de gépünk IP címét azonnal bemérve, beazonosítva chat-ablakot dobnak fel kéretlenül és agresszívan. - Érdekes kísérleti megoldást (újítást) dolgozott ki a Facebook a közelmúltban. A képernyő bal oldali sávjában valós időben láthattuk, hogy melyik ismerősünk éppen mit csinál, milyen zenét hallgat, mit olvas, milyen képet vagy információt lájkol, kivel chat-el. Gyakorlatilag a felhasználók minden egyes mozdulatát a Facebook-on belül bármelyik ismerőse követni tudta anélkül, hogy maga a felhasználó erre engedélyt adott volna bárki számára. Ezzel azonban nem csupán a felhasználók láthatták ismerőseik tevékenységeit valós időben, hanem lehetővé vált a felhasználók tevékenységeinek online figyelése, majd archiválása is Talán ezért is tűnt el hirtelen ez a Facebook kezelőfelületéről. - A Netflixszel, a Spotifyjal és a Yahoo News-zal, illetve más cégekkel kötött megállapodásoknak köszönhetően a rendszer elmenti, mi iránt érdeklődik a felhasználó. Az a Facebook-felhasználó, aki engedélyezi, hogy az adott alkalmazás hozzáférjen a profiljához, például automatikusan megosztja a barátaival az információt, milyen dalt hallgat éppen a Spotify rendszerében. Már nem szükséges a like gombot megnyomni, vagy állapotfrissítést küldeni nem kell aktivizálnia magát senkinek, elég az egyszeri beleegyezés, majd a passzív megosztás. [10] Az új timeline profil bevezetését azonban az adatvédők tiltakozása eredményeként, akik adathalászanak, internetes kémkedésnek nevezik az új alkalmazást, egyelőre elhalasztotta a Facebook [11]. 13
ÖSSZEFOGLALÁS A bemutatott néhány példa alapján is látható, hogy sok esetben mi magunk, a felhasználók vagyunk okai tudatosan, vagy hanyagul annak, hogy a virtuális terekben magunkról megosztott információk felhasználók és szolgáltatók sokaságához jutnak el, juthatnak el. Az online munka, tevékenység pedig soksorosára növelheti az adathalászat lehetőségét. Mi hát a megoldás privát szféránk megvédésére a virtuális terekben? Tudjuk-e befolyásolni, hogy mely adataink legyenek publikusak, és melyek ne? Szükséges-e, hogy minden ismerősünk minden adatunkat, információt lásson rólunk? Bizonyára nem. Jó megoldásnak tűnhet az online életben, ha a különböző általunk használt közösségi terekben, legyen az bármilyen szociális háló, szakmai, baráti, vagy egyéb érdeklődési körünknek megfelelő, ha csoportokat hozunk létre. Meghatározzuk, hogy felhasználói profilunk mely részét melyik csoport milyen mértékben láthatja. Az általunk feltöltött és megosztott tartalmak esetében is használhatunk csoportokat. A végső tanulság azonban egy: aki a virtuális terekben online közösségi életet él és/vagy valós idejű tevékenységeket végez, bizony nem lehet biztos abban, hogy tevékenységének digitális lenyomatai, nyomai hogyan, kinél, milyen módon kerülnek tárolásra, felhasználásra. HIVATKOZÁSOK [1] Matthew D SARREL: The darker side of cloud computing. 2009. február, PC Magazine, p.1. ISSN 08888507. [2] DÁVID Imre: Okos felhőszolgáltatások Intel-támogatással. [online] Computerworld, 2011.02.28. http://computerworld.hu/okos-felhoszolgaltatasok-intel-tamogatassal-20110228.html. [3] KRISTÓF Csaba: A mobilbiztonság alappillérei. [online] 2010.04.22. http://biztonsagportal.hu/amobilbiztonsag-alappillerei-20110422.html. [4] GAMBOA Joaquin, LINDSEY Mark: Standards, Security And Data Handling in A Cloud Environment. USA, 2008. 9 9/8/2008, Computerworld, p. 30. from database: Academic Search Complete. ISSN: 00104841. [5] MUNK Sándor: A biztonság kérdésének dekompozíciója Hadmérnök. [Online] 2010. június. [Hivatkozva: 2010. 12 10.] pp. 412-413. http://hadmernok.hu/2010_2_munk.pdf. ISSN 1788-1919. [6] Google official website: Advanced sign-in security for your Google account. Google, 2011. 02.10. http://googleblog.blogspot.com/2011/02/advanced-sign-in-security-for-your.html. [7] Európai Bizottsági vizsgálat. [http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp170_hu.pdf] 2011. [8] Európai Bizottsági vizsgálat. http://ec.europa.eu/justice/news/consulting_public/0006/com_2010_609_hu.pdf 2010. [9] Reports, Library Technology: Cloud Computing. 2009. május, pp. 10-12. from database: Academic Search Complete. ISSN: 00242586. [10] Feleslegessé tette a like gombot a Facebook http://hvg.hu/tudomany/20110925_facebook_like_timeline#rss (letöltés: 2011. október 28.) [11] A Facebook elhalasztja a timeline bevezetését http://hvg.hu/tudomany/20111004_timeline_bevezetese_facebook#utm_source=hirkereso&utm_medium=list ing&utm_campaign=hirkereso_2011_10_4 (letöltés: 2011. október 28.) 14