INFORMAČNÍ BEZPEČNOST A DIGICOMP PAVLA KOVÁŘOVÁ INFORMAČNÍ BEZPEČNOST •Safety: To protect devices, content, personal data and privacy in digital environments. To protect physical and psychological health, and to be aware of digital technologies for social well-being and social inclusion. To be aware of the environmental impact of digital technologies and their use. •Informační bezpečnost, informační politika, autorskoprávní aspekty… •IB = ochrana před ohrožením způsobeným informacemi a souvisejícími technologiemi •Prvky data, technologie, systémy atd., ale i lidé DEFINICE INFORMAČNÍ SPOLEČNOSTI •Např. TDKIV: „Společnost založená na integraci informačních a komunikačních technologií do všech oblastí společenského života v takové míře, že zásadně mění společenské vztahy a procesy. Nárůst informačních zdrojů a komunikačních toků vzrůstá do té míry, že ho nelze zvládat dosavadními informačními a komunikačními technologiemi.“ (KRIŠTOFIČOVÁ, 1999) •John Feather: •Informační společnost je produktem používání PC •PC: neomezená „skladovací“ kapacita + neomezený operační potenciál => „jedinečný a bezprecedentně mocný a potenciálně nebezpečný nástroj“ (vítáme, ale děsí) •IG = série zásadních kompetencí pro profesní, občanský i soukromý život • DIGICOMP 4: SAFETY •Ochrana zařízení (technické, chování), obsahu a soukromí, rozlišování hrozeb •Ochrana osobních dat a soukromí, použití a sdílení identifikujících informací při ochraně sebe a jiných, politika soukromí digitálních služeb •Vyhnutí se zdravotním rizikům a hrozbám pro fyzické a psychické zdraví, ochrana proti možným ohrožením a technologie pro sociální blaho a inkluzi •Environmentální dopady technologií a jejich použití DIGICOMP 4: SAFETY 1.S asistencí jednoduchá 2.Autonomně a s asistencí jen kde potřeba 3.Samostatně při řešení přímých problémů rutinní postupy 4.Nezávisle podle vlastních potřeb a řešení dobře definovaných a nerutinních problémů DIGICOMP 4: SAFETY 5.I vedení druhých různé postupy, např. •ochrana Twitter firemního účtu heslem a kontrolou současných přihlášení a ukázka kolegům jak na to, •rozpoznání phishingových tweetů a •opatření k vyhnutí se jim kontrolou nastavení soukromí •pomoc kolegům s detekcí hrozeb při využití Twitteru 6.Podle potřeb vlastních i druhých v komplexním kontextu využití nejvhodnějšího •výběr nejvhodnějších postupů pro ochranu OÚ kolegů (adresa, telefon) při sdílení digitálního obsahu na Twitteru •rozlišení vhodného a nevhodného obsahu pro sdílení pro neohrožení soukromí vlastního a kolegů •zhodnocení vhodnosti použití OÚ na Twitter účtu dle zákona •odstranění obrázků nebo jmen k ochraně OÚ dle zákona DIGICOMP 4: SAFETY 7.Na specializované úrovni tvorba komplexních řešení s limitovanými definicemi a integrace znalosti k přispění odborné praxi a vedení druhých, např. •Tvorba digitální kampaně o možných zdravotních problémech použití Twitteru pro profesní účely (šikana, závislost…) pro sdílení a použití kolegy a odborníky 8.Na nejpokročilejší specializované úrovni komplexní řešení problémů s mnoha integrovanými faktory a návrh nových myšlenek a procesů, např. •Vytvoření ilustračního videa s odpověďmi o udržitelném použití digitálních zařízení v organizaci v mém sektoru pro sdílení na Twitteru a použití zaměstnanci a dalšími odborníky v sektoru CO SI O TOM MYSLÍTE? •Kahoot.it Proměnná Hodnota (zdroj EU Kids Online, pokud neuveden jiný) 1. Lidí/dětí online 60/90 % dle (Factum Invenio, ČSÚ); 60/75 (ČR) % online denně, dalších 33/22 % min. týdně 2. 3 nejčastější činnosti EU dětí online Příprava do školy (84 %), sledování videa (83 %), Hry sólo nebo proti počítači (74 %) 3. Rizikové chování dětí na SNS Viz graf 4. Zveřejněné informace na internetu Microsoft: dle 43 % bezpečné - skutečné jméno (85 %), fotografie sebe/přátel (71 %), školu (44 %), adresu (13 %) 5. Kontakt online cizincem + ochota schůzky 30/46 % kontakt online s cizincem, 9/15 % pak setkání, 11 % z nich (1 % ze všech) se špatnou zkušeností; 63 % kontakt od neznámých, téměř ½ odpověděla (Microsoft) 6. Kyber/šikanováno 6/8 % kyberšikana (19/26 % on+offline) 7. Oznámení online problému 60 % sexuální zprávy, 77 % šikana, 53 % sexuální obrázky; 36 % rodičům, 28 % kamarádům a 24 % učiteli 8. Neznalost nastavení e-soukromí USA a GB 2008 – 52 % neznalo své nastavení pro ochranu soukromí (The state of computer privacy); 50 % rodičů nesleduje dodržování pravidel pro ochranu soukromí na SNS (Microsoft) 9. Monitoring pracovních PC a blokování obsahu Necelé ¾ používají monitoring zaměstnanců, víc než ½ omezuje přístup k internetu (Jen pětina firem...) EU KIDS ONLINE A SNS •V ČR vládne FB, většina spokojených na SNS •Na FB častěji setkání se sexuálními obrázky či zprávami, šikanujícími zprávami a setkávání offline s cizinci (rizika) • VÝZKUM: METODOLOGIE •EU Kids Online: 25 států, vč. ČR, 25 142 dětí, jaro-léto 2010, rozhovory s dětmi a jejich rodiči •Microsoft: 2010 v 11 evropských zemích (5 615 do 18 let a 8 566 dospělých) •Jen pětina firem nesleduje zneužívání pracovní doby: 200 českých firem, zadavatelem prodejce SW pro monitoring ve firmách SNAD NEBUDE TAK ZLE… •Los Angeles 2005: náhodným kolemjdoucím za heslo poukaz na kávu za 3 $ => 180 z 272 ochotno, 51 z ostatních 92 za poukaz formát hesla •Technet.cz žádosti o přátelství z falešných profilů na 100 náhodných uživatelů – ženskou přijalo 60 % chlapců, pánskou 42 % dívek •Ron Bows (2010) vlastním kódem hromadně shromáždil osobní informace víc než 100 mil. uživatelů FB a v balíku dal na Pirate Bay; Matthijs Koot (2011) totéž na G+ o 35 mil. lidí, kdy jméno = e-mail •2011 průzkum 300 HR specialistů – 91 % prověřuje uchazeče na SNS (76 % FB, 53 % Twitter, 48 % LinkedIn), 69 % někdy odmítlo uchazeče kvůli DS IDENTITA NA INTERNETU DEFINICE SOUKROMÍ •Iuridicum Remedium + Big Brother Awards •„(…) soukromí obecně znamená jistou sféru integrity jednotlivce a jeho blízkých, která obklopuje jednotlivce samého, ať se nachází kdekoli“ (Stanovisko č. 1/2008, aktualizace únor 2014) •Nárok sám určit, kdy, jak a v jakém rozsahu jsou informace o něm šířeny dál (volně dle Westin, Privacy and Freedom) •Hranice se liší u kultur i jednotlivců i v čase (např. zlom s internetem/FB…) MOŽNOSTI UŽITÍ DS Stát •informace o občanech, např. daně •vyšetřování porušení zákona Zaměstnavatelé •přijímání nového zaměstnance •hlídání know how •monitoring efektivní práce Firmy •cílený marketing •personalizace pro zákazníka (video – 17:10) •Competitive Intelligence Zákazníci •ověření kvality služeb •výběr nejvhodnější nabídky Fyzické osoby •seznámení s možným partnerem, známým •nalezení ztraceného kontaktu •monitoring dětí/seniorů... Útočníci •snaha poškodit •snaha získat ZNEUŽITELNÉ INFORMACE •Člověk = vždy nejslabší článek zabezpečení •Lze zneužít VŠECHNY informace, ale některé lépe •Zneužitelné údaje (dle Král): •Červená – identifikační, rodné jméno matky, zdravotní stav... •Oranžová – tel. číslo, adresa, zájmy apod. •Zelená – směrovací číslo, průzkumy veřejného mínění, atd., bez spojení s jinými •Získávání informací: •Zdroje: zveřejněné informace, použité HW úložiště, hlavičky zpráv, programy za informace… + samotná oběť •Automatické: harvesting, logy v elektronických službách, spyware (adware) CASE STUDIES: ZNEUŽITÍ INTERNETU •Kyberšikana: Ghyslain Raza (Star Wars Kid), Ryan Patric Halligan, Anna Halman, Megan Meier •Kyberstalking: Romana Schuppanová a Michaela Maličká •Kybergrooming: Pavel Hovorka •Sexting: Jessica Logan, v ČR Žaneta •Vydírání: cizinec vydíral 80 Češek přes internet (8/2010) •Soutěž o nejkrásnější dítě na FB? •Malware, hl. s rysy spywaru •Nevyžádané zprávy: spam, scam, řetězové zprávy, hoax •Phishing a následovníci •Krádež identity • JAK (SE) CHRÁNIT? •100% bezpečí neexistuje, ale lze přiblížit •Osvěta a bezpečné chování = základ •Přemýšlet o možných důsledcích – stojí za to? •Ověřovat si oprávněnost požadavků •Neměnit pohodlí za rizika •Občas preventivní prověření (např. pasivní i aktivní DS na FB ke stažení) •Ověření, reputace: při poskytování informací nebo peněz (aukce, e-shopy...) •Udržovat povědomí o aktuálních hrozbách •Pomoc: ÚOOÚ, Iuridicum Remedium, Internet Hotline (Linka bezpečí Online) (+ Policie ČR)… • TECHNICKO-UŽIVATELSKÁ OPATŘENÍ •Správné nastavení SW, především práv a bezpečnostních aplikací •Pravidelné (automatické) aktualizace •Uživatelské účty •Bezpečná autentizace (hl. hesla) •Proklikání a volba v prohlížeči (soukromí, pamatování hesel, vyskakovací okna, Cookies, zóny obsahu…) •Použití bezpečnostních nástrojů •antivir, antispyware, firewall •filtr obsahu (rodiče) MOŽNÉ SPECIALIZOVANÉ NÁSTROJE NA DS •Odstranění DS - dočasných souborů, historie prohlížení a stahování, vyplněných formulářů, hesel, cookies (Ccleaner) •Prevence: •Anonymizér (TOR), •Alert osobních informací ve vyhledávání (Me on the web), •Žádost o nesledování (Do not Track), •Zmatení vyhledávacích profilů (TrackMeNot), •Odhalení sledování na webu s volbou reakce (Ghostery) • RADĚJI BEZ IT? •Digitální identita stále zásadnější pro život •Možnosti ochrany hlavně v odpovědném chování uživatele, existují nástroje pro pomoc, ale s omezenými možnostmi •Pozitivní DS => zásadní impulz pro využití internetu (komunikace, sebeprezentace, profesní i osobní reputace) •Řešení není neexistence digitální stopy, ale její odpovědné budování ZÁKONY •Ošetření nejproblematičtějšího – „minimální etika“, represe i psychologická prevence •Problémy: •Neaktuálnost: rychlé zastarání, zdlouhavé aktualizace, nepokrytí nových problémů •Teritorialita internetu: zákon omezený na stát X internet bez hranic (rozhodnutí dle země poskytování služby - Smejkal, 2001) •Trestní zákoník •§ 230 Neoprávněný přístup k počítačovému systému a nosiči informací, •§ 231 Opatření a přechovávání přístupového zařízení a hesla k počítačovému systému a jiných takových dat a •§ 232 Poškození záznamu v počítačovém systému a na nosiči informací a zásah do vybavení počítače z nedbalosti – ochrana nosiče i obsahu •§§ 355-356, 403-405 proti extremismu (vč. verbálních deliktů) •§§ 191-193 děti a pornografie + §§ 201-202 sexuální zneužití •§ 354 Nebezpečné pronásledování a mnohé další ZÁKON Č. 101/2000 SB., O OCHRANĚ OSOBNÍCH ÚDAJŮ •Snaha o naplnění práva každého na ochranu před neoprávněným zasahováním do soukromí •OÚ = informace k jednoznačné identifikaci + citlivé pro možnou diskriminaci a biometrické pdaje •Stanovení práv a povinností při zpracování OÚ •Podmínky pro předání OÚ do jiných států •Veškeré zpracovávání OÚ kýmkoli, automatizovaně i jinak, mimo •FO výhradně osobní potřebu •Nahodilé shromažďování, bez dalšího zpracovávání •Pro dodržení jiného zákona • PRAVIDLA ZPRACOVÁNÍ ÚDAJŮ •Citlivé údaje lze zpracovávat jen ze zákonem vymezených důvodů (striktnější než běžné OÚ) •Správce musí dbát, „aby subjekt údajů neutrpěl újmu na svých právech, zejména na právu na zachování lidské důstojnosti, a také dbá na ochranu před neoprávněným zasahováním do soukromého a osobního života “ (§ 10) •Na požádání SÚ správce povinen předat informaci o zpracování OÚ daného subjektu •Před zahájením zpracování nutné informovat ÚOOÚ o zákonem daných souvislostech a mít poučený souhlas SÚ OCHRANA OÚ •„(1) Správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů. •(2) Správce nebo zpracovatel je povinen zpracovat a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních údajů v souladu se zákonem a jinými právními předpisy.“ (§ 13) •§ 15 povinnost mlčenlivosti o OÚ (i po skončení zpracování) ČINNOSTI ÚOOÚ (§ 29) •Vede registr zpracování OÚ, •Poskytuje konzultace v oblasti ochrany OÚ, •Dozor nad dodržováním povinností při zpracování OÚ, •Přijímá podněty a stížnosti na porušení povinností při zpracování OÚ a informuje o jejich vyřízení, •Projednává přestupky a jiné správní delikty a uděluje pokuty, •Spolupracuje s obdobnými úřady jiných států + zajišťuje plnění požadavků z mezinárodních smluv, •Zpracovává a zveřejňuje výroční zprávu o své činnosti, •Vykonává další působnosti stanovené mu zákonem (např. zajištění ORG – přiděleno až s odstupem), NAŘÍZENÍ EU GDPR (GENERAL DATA PROTECTION REGULATION) •Nutný zákon + změny v IS a nakládání s OÚ u všech správců nejpozději od 25. 5. 2018 •Výrazné zvýšení sankcí •OÚ i technické údaje (e-mail, IP adresa, cookie…), telefonní číslo, ID vydané státem, citlivé OÚ dětí a genetické údaje •Prokazatelné doložení ochrany OÚ správcem i zpracovatelem => administrace •Opravdu jen data nezbytná k účelu •Více zodpovědnosti zpracovatelů (ne vše na správci) •Přístup k OÚ pro SÚ + právo na výmaz + právo být zapomenut (mimo právní důvod dalšího zpracování) – viz Europe vs. Facebook •Oznamovací povinnosti při narušení bezpečnosti OÚ nejpozději do 72 hodin od dozvědění se o narušení •Podrobnosti na GDPR prakticky • SVOBODNÝ PŘÍSTUP K INFORMACÍM •Právo občanů (PO i FO) na informace, hl. vniklé z veřejných financí + speciální zákon k info o životním prostředí •Informace v zákoně: •Obsah v jakékoli formě mimo vyjmenované •Neuplatitelné na upravené jinde, názory, budoucí rozhodnutí a nové informace •Doprovodná souvisí s žádanou, např. důvod odepření •Povinné subjekty: státní a veřejné instituce + částečně při přenesení výkonu veřejné moci •Informace po žádosti nebo zveřejněním •Důraz na e-formu, pokud možné E-SLUŽBY •Informování, transakce, participace •Různé formáty a dostupnost •Ne vše vyhledatelné přes Google •Zájem některých institucí (správa a samospráva) o otevírání •Využití rozšířených prostředí, např. YouTube pro videozáznamy zasedání zastupitelstev •Využití vlastních webů, např. stránky měst Velké Opatovice, Praha… •Využití vlastních projektových webů, např. Otevřené město – Nové město na Moravě, Participativní rozpočet Brno… •Příklady dobré praxe eGov v EU VYBRANÉ IS VS •Portál VS ČR •Czech POINT •ARES – subjekty i osoby •Český statistický úřad •Český úřad zeměměřičský a katastrální •Statistiky Ministerstva vnitra ČR => co se s tím dá dělat? Např. Kde jsme •Registr a adresář knihoven MK •Seznam držitelů datových schránek •IS o ISVS IS VS – PRO INSTITUCE NEJEN VS A OBČANY •Datové schránky – A co „webová aplikace, která umožňuje interaktivním způsobem seznámení s funkcemi a uživatelským rozhraním webového portálu datových schránek“? •Knihovna připravované legislativy, Sněmovní tisky (Poslanecká sněmovna) X Zákony pro lidi •Centrální evidence dotací ze státního rozpočtu – některé záznamy dost neúplné ELEKTRONIZACE VEŘEJNÝCH ZAKÁZEK •VZ = I částečně hrazeno z veřejných prostředků (limity v zákoně o VZ) – zboží, stavební práce, služby •Nelze diskriminace, nutná transparentnost •§ 30 Výjimky pro podlimitní veřejné zakázky, písm. h) „ na nákup knih a jiných informačních zdrojů do knihovních fondů“ •Zveřejnění ve Věstníku veřejných zakázek (vše) + Úřední věstník Evropské unie (jen nadlimitní) - §212 •Obvykle i web zadavatele, systémy např. E-ZAK, eGordion… OTEVŘENÁ DATA VS •Usnadnění přístupu k datům veřejné správy => využitelnost, centrální místo, ale ne výhradní, informace o lokaci a postupu získání dat •Vytvoření předpokladu pro snazší opětovné použití dat veřejné správy => nejen G2C a G2B, ale i G2G •Zajímavé odkazy: •Národní katalog otevřených dat + Registr smluv •Fórum expertů Otevrenadata.cz • DOKUMENTY VYDANÉ EU Právo: •EurLex •N-Lex •Právo a publikace EU VaV a odborné publikace •CORDIS •EU Bookshop Statistiky a data •Eurostat •Eurobarometr •Open data EU •Digital agenda EU a ČSÚ SDĚLENÍ O EU Orgány EU: •Rada Evropské Unie •Evropský parlament •Evropská komise Zpravodajství EU Europe Direct V ČR Euroskop a Eurion Dodatek k Úřednímu věstníku EU (obchodní příležitosti) EuroDesk Ploteus EURES MIL KOMPETENCE – HODNOCENÍ •Hodnocení informace i jejího zdroje •Zpracování poznámek •Interpretace informací •Vyzkoušíme si: •Vyhledejte účinnou verzi knihovní licence v zákoně •Co na zdroji hodnotíte? •Jak chápete obsah? •Jak jste postupovali pro zpracování obsahu? •Pomůcky pro občanství např.: •Obecná kritéria hodnocení informací, např. C.R.A.P. test, CARS test, SMELL test (masmédia) a řada dalších •Občanské iniciativy, např. manipulátoři.cz nebo demagog.cz • MIL KOMPETENCE – TVORBA •Zapojovat se pro sebevyjádření, mezikulturní dialog a demokratickou participaci etickým, efektivním a účinným způsobem •Pomůcky: •RSS, čtečky, např. Feedly, Flipboard, Pocket •Publikační služby, např. Fold, SlideShare, YouTube •Veřejné záležitosti, např. veřejné konzultace, petice, občanské iniciativy… => nejen na internetu •Monitoring informací: Google Scholar, Google Alerts, Google Analytics… • • • DĚKUJI ZA POZORNOST. DOTAZY? KOVAROVA@PHIL.MUNI.CZ POUŽITÁ LITERATURA •ANGWIN, Julia. Web Companies Agree to Support 'Do Not Track' System. The Wall Street journal [online]. February 23, 2012 [cit. 2012-01-04]. ISSN 00999660. Dostupné z: http://online.wsj.com/article/SB10001424052970203960804577239774264364692.html •DOČEKAL, Daniel. Google Profiles nabízejí miliony jmen i e-mailů uživatelů. JustIT [online]. 26/05/2011 [cit. 2012-05-01]. Dostupné z: http://www.justit.cz/wordpress/2011/05/26/google-profiles-nabizeji-miliony-jmen-i-e-mailu-uzivatelu / •DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. Vyd. 1. Brno: Computer Press, 190 s. ISBN 80-251-0106-1. •EMERY, Daniel. Details of 100m Facebook users collected and published. BBC News [online]. 29 July 2010 [cit. 2012-01-04]. Dostupné z: www.bbc.co.uk/news/technology-10796584 •FEATHER, John. The information society: a study of continuity and change. 5th ed. London: Facet, 2008. ISBN 978-185-6046-367. •Jen pětina firem nesleduje zneužívání pracovní doby. 2011. Profit.cz [on-line]. [cit. 2014-03-20]. Dostupné z: http://www.profit.cz/clanek/jen-petina-firem-nesleduje-zneuzivani-pracovni-doby.aspx •KASÍK, Pavel. Češi Facebooku nebezpečně věří. Falešné krasavici naletělo 60 procent. Technet: Technika kolem nás [online]. 19. listopadu 2009 [cit. 2012-05-01]. Dostupné z: http://technet.idnes.cz/cesi-facebooku-nebezpecne-veri-falesne-krasavici-naletelo-60-procent-112-/s w_internet.aspx?c=A091117_171036_sw_internet_pka •KRÁL, Mojmír. Bezpečnost domácího počítače: prakticky a názorně. 1. vyd. Praha: Grada, 2006. ISBN 80-247-1408-6. •KRATOCHVIL, Petr. CHIP [online]. 17.02.2011 [cit. 2014-03-20]. Firmy sledují zneužívání pracovní doby na počítačích. Dostupné z: http://www.chip.cz/novinky/internet/2011/02/firmy-sleduji-zneuzivani-pracovni-doby-na-pocitacich POUŽITÁ LITERATURA (2) •LIVINGSTONE, Sonia, et al. LSE [online]. London: 2011 [cit. 2014-03-20]. Risks and safety on the internet: The perspective of European children. Full Findings. ISSN 2045-2551. Dostupné z: http://www2.lse.ac.uk/media@lse/research/EUKidsOnline/EU%20Kids%20II%20(2009-11)/EUKidsOnlineIIRepo rts/D4FullFindings.pdf •Meme Center [online]. 2011 [cit. 2014-03-20]. Classic: On the internet, nobody knows you're a dog. Dostupné z WWW: http://www.memecenter.com/fun/63651/classic-on-the-internet-nobody-knows-youre-a-dog •Microsoft [online]. 9. února 2010 [cit. 2011-11-22]. Polovina dětí reaguje na internetu na zprávy od cizích lidí – ze zvědavosti. Dostupné z: http://www.microsoft.com/cze/presspass/msg/20100209_news1.mspx •NOSKA, Martin. Výzkum: Uživatelé hazardují se svými hesly k webovým službám. Computerworld [online]. 14.10.10 [cit. 2014-03-20]. Dostupné z: http://computerworld.cz/bezpecnost/vyzkum-uzivatele-hazarduji-se-svymi-hesly-k-webovym-sluzbam-7882 •The state of computer privacy: Steganos 2008 survey into PC security. 2008. Steganos [on-line]. [cit. 2014-03-20]. Dostupné z: http://www.steganos.com/uploads/media/Steganos_Press_Release_2008-10-24_SurveyPCusersGraphicsWhiteP aper.pdf •Zákon č. 106/1999 Sb., o svobodném přístupu k informacím, v platném znění •Zákon č. 101/2000 Sb., o ochraně osobních údajů, v platném znění •