Dlaczego smartfon wie o nas więcej niż rodzina i jakie niesie to zagrożenia
Dziś nie wyobrażamy sobie życia bez smartfona i internetu. A jednocześnie nie możemy się obejść bez aplikacji, które wiedzą o nas wszystko. Ile kroków dziennie pokonujemy, ile kalorii spalamy, co czytamy i oglądamy, gdzie chodzimy, kiedy kładziemy się spać. Wydaje się to wygodne, dopóki nie wiemy, że po drugiej stronie barykady znajdują się intruzi. Włamują się na serwery i do aplikacji, którym podajemy nasze dane, przeprowadzają cyberataki, tworzą cyfrowe portrety użytkowników i uzyskują dostęp do kont finansowych. Czy to brzmi złowieszczo? Niemniej jednak każdy, kto korzysta z telefonu komórkowego, musi o tym wiedzieć.
Czym są dane osobowe?
Dane osobowe to wszelkie informacje osobiste i firmowe, informacje o kontach finansowych (w szczególności oznaczające dostęp do bankowości internetowej) oraz wszelkie fakty z życia, których dana osoba nie chce ujawnić. Jednak zgodnie z obowiązującym prawem, każdy ma prawo wiedzieć, kto i w jakim celu wykorzystuje dane osobowe. A jeśli okaże się, że dane osobowe dostały się w ręce innych osób, dana osoba ma prawo dowiedzieć się, jakie konkretne dane zostały udostępnione publicznie. I zdecydować, które informacje chciałby zachować w tajemnicy.
W jaki sposób przekazujemy dane osobowe?
Choć może się to wydawać niesamowite, cały czas dzielimy się danymi osobowymi - i nawet nie wiemy z kim. Jak to się dokładnie dzieje?
- instalujemy aplikacje i bez przeczytania regulaminu wyrażamy zgodę na przetwarzanie danych osobowych;
- zapominamy o regularnym aktualizowaniu aplikacji i oprogramowania lub korzystamy z nielicencjonowanego oprogramowania antywirusowego;
- nie używamy wystarczająco silnych haseł lub ich nie zmieniamy - lub używamy starych, dawno zapomnianych haseł, które niestety mogą być rozpoznane przez cyberprzestępców;
- mamy włączony Bluetooth i mamy wyłączony tzw. internet rzeczy; xml-ph-0213@deepl.
Dlaczego to robimy?
Aplikacje proszą nas o zgodę na dostęp - a często informacje, które podajemy, są więcej niż potrzebne. Na przykład, edytor zdjęć będzie chciał mieć dostęp do plików multimedialnych, i to jest oczywiste. Ale raczej nie warto pozwalać na dostęp do kontaktów.
Załóżmy też, że aplikacja Uber nie może działać bez dostępu do lokalizacji klienta. Jednocześnie, dysponując takimi informacjami, kierowcy mogą "monitorować" ruchy właściciela smartfona nawet po zakończeniu podróży. Odpowiedzialna jest za to funkcja danych dotyczących podróży. Na oficjalnej stronie znajduje się informacja: "W niektórych przypadkach jesteśmy zobowiązani do udostępniania danych o przejazdach Uber władzom miejskim i federalnym, a także lokalnym władzom transportowym. Aby spełnić te wymagania, zbieramy dane dotyczące lokalizacji i czasu przejazdów na rowerach i skuterach."
Co dalej?
Załóżmy, że nasze dane osobowe są przechowywane w aplikacji szkoły internetowej specjalizującej się w nauce języka angielskiego. Hakerzy atakują serwer i dochodzi do wycieku informacji - maile i inne informacje, do których aplikacja ma dostęp, trafiają w niepowołane ręce. A jak napastnicy to wykorzystają, tego nie wie nikt.
Przy okazji, jeśli chcesz sprawdzić, czy coś takiego stało się z Twoim kontem e-mail, skorzystaj z jednego z portali takich jak Have I Been Pwned. Osobiście, kiedy weszłam na swoje e-maile, dowiedziałam się, że dwa z nich zostały zhakowane na serwerze, przez który wyciekły informacje.
Jak chronić dane osobowe?
- Jeśli kwestia leży w kompetencjach Unii Europejskiej, można zwrócić się do sądu międzynarodowego i powołać się na kilka aktów prawnych:
- Europejska Konwencja o Ochronie Osób w związku z Automatycznym Przetwarzaniem Danych Osobowych (1981) - zgodnie z tym aktem dane osobowe są udostępniane rządowi i firmom prywatnym tylko na podstawie decyzji sądu;
- Ustawa o Prywatności Komunikacji Elektronicznej (1986) - przy podpisywaniu umów banki i instytucje finansowe mają obowiązek zapytać o zgodę na przetwarzanie danych osobowych.
Należy wspomnieć, że jeżeli naruszenie praw człowieka w związku z kradzieżą danych osobowych jest uznawane za sprawę krajową, należy zwrócić się do sądu, instytucji specjalnej lub organu państwowego o znaczeniu krajowym.
Pomimo przepisów, w ochronie danych osobowych istnieje dziś tak wiele luk, że statystyki na maj 2020 r. są rozczarowujące. Na przykład, 79% ankietowanych w badaniuprzeprowadzonym przez Pew Research Center twierdzi, że obawia się firm gromadzących ich dane. Jednocześnie 64% respondentów obawia się, że rząd może zainteresować się danymi osobowymi. 81% respondentów czuje się niezabezpieczonych i nie jest w stanie ochronić swoich danych. Z kolei 46%, według Salesforce, twierdzi, że straciło kontrolę nad danymi osobowymi.
Dlaczego tak się dzieje?
Wielki Brat nas obserwuje
W niektórych przypadkach dochodzi do sytuacji kryzysowej, w której państwo uznaje za uzasadnioną ingerencję w przestrzeń osobistą obywateli. Jednocześnie część osób zazwyczaj popiera podjęte decyzje i dobrowolnie ujawnia swoje dane, podczas gdy inni skarżą się, że ich prawa zostały naruszone. Na przykład wiosną w Australii rząd
argumentował, że gdyby większość ludzi pobrała aplikację COVIDSafe, reżim samoizolacji zniknąłby szybciej i życie wróciłoby do normy. Jako pierwsze oburzyły się instytucje akademickie. Uniwersytet w Sydney, na przykład, wraz z The Conversation, publicznie , stwierdził publicznie, że aplikacje do obsługi informacji zdrowotnych naruszają prawa człowieka.
A sprawa wyglądała następująco.
Pod koniec kwietnia ponad 5,87 mln Australijczyków pobrało COVIDSafe, aplikację stworzoną po to, by ułatwić urzędnikom służby zdrowia ustalenie, z kim kontaktowała się osoba z COVID.
Informacje są gromadzone w następujący sposób. Aplikacja zbiera anonimowe id, za pomocą Bluetooth, a obszarem zainteresowania są osoby, które znajdują się w bliskiej odległości od chorego, z czasem przebywania w pobliżu chorego co najmniej piętnaście minut temu. Ludzie są poinstruowani, aby utrzymywać Bluetooth włączony przez cały czas - wyłączać go tylko po powrocie do domu.
Jednocześnie, włączenie Bluetooth pozwala innym aplikacjom na odczytywanie danych osobowych, więc korzystanie z COVIDSafe nie jest tak bezpieczne, jak byśmy chcieli.
Mówiąc o naruszaniu prywatności, warto zauważyć, że jest ono uzasadnione, ze względu na zagrożenie masową epidemią COVID. Jednak światowa opinia publiczna nadal sprzeciwia się korzystaniu z takich aplikacji. Na przykład, The Guardian zdołał udowodnić, że internetowy system medyczny My Health Record nie spełnia międzynarodowych wymogów bezpieczeństwa cybernetycznego, mimo że zainwestowano w niego 1,5 miliarda dolarów. Chociaż system uznano za skuteczny, rząd nie zapewnił, że dostęp do danych osobowych dotyczących zdrowia danej osoby jest zgodny z prawem.
Baza danych gromadziła informacje kliniczne o australijskich pacjentach od 2012 r., ale zakończyła działalność w 2020 r. na wniosek służb odpowiedzialnych za bezpieczeństwo informacji.
Chodzi o to, że w systemie znaleziono pewne problemy z oprogramowaniem, które powodowały wycieki informacji.
Jednocześnie aplikacje medyczne nie są jedynymi systemami, którym zarzuca się zaniedbywanie danych osobowych. Trzeba tu powiedzieć, że generalnie koncepcja smart city, która łączy wszystkich w globalną sieć, pozwala na uproszczenie wielu procesów - ale może też potencjalnie zaszkodzić mieszkańcom "zdigitalizowanych" miast.
Na przykład, ponad sto agencji rządowych uzyskało dostęp do informacji zebranych za pomocą inteligentnej karty Opal używanej przez osoby korzystające z transportu publicznego w Południowej Walii.
Jeszcze w zeszłym roku badacze z International Computer Science Institute (ICSI) przeanalizowali wydajność 24 000 aplikacji działających na Androidzie. Stwierdzili, że 70% z nich kradnie dane osobowe. Działa to w ten sposób, że stały identyfikator jest wysyłany do firm, które następnie są w stanie monitorować ruchy i które inne aplikacje są używane.
Gdy te informacje dostaną się w ręce hakerów, powiedzą wszystko o danej osobie - ile kalorii spożywa dziennie, ile kilometrów pokonuje, dokąd idzie, ile godzin śpi itd.
Jednocześnie badacze poinformowali pracowników Google o wykrytych problemach, ale nie otrzymali odpowiedzi.
Jeśli chodzi o pozornie niewinne aplikacje podróżnicze, badacze z organizacji zajmującej się rozwiązaniami bezpieczeństwa mobilnego Zimperium przetestowali trzydzieści najlepszych aplikacji mobilnych, które dostarczają informacji o lotach, hotelach, wypożyczalniach samochodów - i odkryli, że dane osobowe użytkowników są całkowicie niezabezpieczone.
W szczególności 100% aplikacji na iOS, które pobieramy z GooglePlay, nie przeszło testów cyberbezpieczeństwa
W przypadku aplikacji na Androida sytuacja wygląda nieco lepiej - testy te nie przeszło 45%. Ale nadal 97% z nich ma problemy z wyciekiem informacji.
Jak zachować prywatność?
Pojawia się uzasadnione pytanie, czy osoba na poziomie lokalnym może chronić dane osobowe, jeśli większość aplikacji mobilnych przekazuje dane osobom trzecim?
Oczywiście, że mogą. Na początek musimy uważnie czytać warunki użytkowania oferowane nam przez strony internetowe i oferty. Choć większość internautów je pomija, to właśnie tam znajdują się informacje o tym, jakie dane osobowe trafią do innych firm - stąd rodzaj targetowanej reklamy, jaką wyświetli Twój gadżet. Na koniec tego, co przeczytałem, do Ciebie należy decyzja, czy chcesz przekazać te informacje dalej, czy nie.
I jeszcze kilka praktycznych porad:
- Nawet jeśli Twój smartfon pozwala na pobieranie aplikacji ze źródeł innych niż Twoje własne, nie powinieneś tego robić.
- Aplikacje zazwyczaj proszą o dostęp do plików, aparatu i GPS, a także kontaktów i informacji o profilu. Choć nie jest możliwe korzystanie ze smartfona bez udzielania dostępu aplikacjom, nie musisz udzielać zgody na wszystkie opcje.
- Nie zapominaj o antywirusach - ważne jest również, aby aktualizować oprogramowanie w pewnych odstępach czasu.
- Zainstaluj blokadę ekranu w swoim telefonie. Jeśli zgubisz swój telefon, bez ochrony ekranu złodziej będzie miał dostęp do wszystkich Twoich danych - profili osobistych, zdjęć, kont w mediach społecznościowych, aplikacji do robienia zakupów.
Dla tych, którzy chcą wiedzieć więcej
- Cyberwojna na sprzedaż: jak Hacking Team uczynił z systemu zdalnego sterowania broń i towar
- Przewodnik po paranoi dla początkujących: kilka wskazówek na temat bezpieczeństwa informacji
- Ukraiński haker, który stał się tajną bronią, a potem najgorszym koszmarem FBI
- Wielki Brat nie będzie śledził: jak świat nauczył się oszukiwać systemy rozpoznawania twarzy
- Jak bitcoiny są kradzione w Darknecie: oszuści wykorzystali zmodyfikowaną przeglądarkę Tor, kradnąc dziesiątki tysięcy dolarów