Domů > Spomocník > Základní vzdělávání > Zneužitelnost dat v mracích
Odborný článek

Zneužitelnost dat v mracích

27. 2. 2014 Základní vzdělávání Spomocník
Autor
Bořivoj Brdička
Tento článek je součastí seriálu: Cloudová úložiště ve škole

Anotace

Zamyšlení nad stavem ochrany soukromých online dat vytvářených uživateli cloudových služeb související s aférou Edwarda Snowdena vyvolané oznámením o úpravě politiky firmy Dropbox reflektující změnu ve vnímání této problematiky veřejností.

V souvislosti s masovým ukládáním digitálních dat prostřednictvím cloudových aplikací kdesi na serverech provozovatelů těchto služeb je docela dobré vědět, kdo všechno k nim má přístup a k jakým účelům mohou být využita či zneužita.

To, že právě existence dat osobně vytvářených činností uživatelů různých online služeb je tou největší hodnotou, kterou provozovatelé disponují, asi všichni tušíme. Čím více zákazníků mají, tím lépe na tom jsou. V mnoha případech dokonce za služby namísto peněz platíme právě tím, že dobrovolně poskytujeme příslušné firmě možnost s informacemi o nás obchodovat. Forma může být i docela přijatelná, v případě, kdy je známo, jak je s daty nakládáno, a tato skutečnost je dostatečně popsána v podmínkách, které každý uživatel musí na počátku odsouhlasit. Typickým příkladem může být třeba reklama cílená na zájmy konkrétních lidí zobrazovaná tak, aby ji od ostatního obsahu bylo možno rozeznat. Bohužel to ale vypadá, že se až příliš často setkáváme s poněkud méně čestnými formami zneužití dat, takovými, které využívají nevědomost a lhostejnost uživatelů a jejich data prodávají třetím stranám (viz Privacy Icons – Víme, jak weby nakládají s našimi daty?).

Je celá řada případů, na nichž se dá tato skutečnost dokumentovat. Zde je pár odkazů: Vysoká pokuta pro KB, úřad ji trestá za únik dat; Apple přes iPhone a iPad špehuje klienty, tvrdí experti; Google obchází ochranu soukromí i v Internet Exploreru; Reklama z Facebooku přesáhne i za jeho hranice; Facebook zruší rozpoznávání obličejů. Jen v Evropě. A mohli bychom takto pokračovat ještě hodně dlouho. Jen Facebook má tolik problémů s ochranou dat svých klientů, že na toto téma vznikl dokonce samostatný záznam na Wikipedii - Criticism of Facebook. Velmi pěkným příkladem, kam až může zajít liberalizace trhu (trochu připomínající podobnou školskou aktivitu No Need To Study), je americká služba LexisNexis, která veřejně za úplatu nabízí detektivní služby typu zjišťování legálně získaného obsahu včetně vysloveně osobních (např. bankovních či zdravotních) dat občanů USA.

Díky Edwardu Snowdenovi v minulém roce vyšel najevo ještě další zajímavý problém týkající se bezpečnosti dat vytvářených uživateli digitálních zařízení. Pasou totiž po nich špionážní agentury na celém světě, protože jsou neocenitelným zdrojem informací v boji proti terorismu. Jenže tytéž informace mohou posloužit i k odhalování jiných odpůrců režimu či politických oponentů. Ve státech totalitních je to jednoduché. Státní policie má prostě přístup k síťovým uzlům, kudy prochází veškerá datová komunikace, vše kontroluje, může jednoduchým rozhodnutím cokoli zablokovat a bez povolení kohokoli sledovat.

Zavedené demokracie postavené na ochraně lidských práv a svobody slova to mají mnohem těžší. Většinou zde existují zákony dovolující sledovat pouze lidi důvodně podezřelé z toho, že nějaký zločin spáchali či chtějí spáchat. Ukáže-li se pak, že ve skutečnosti sledují, koho se jim zamane, včetně vedoucích představitelů spřátelených zemí, je z toho obrovská ostuda a zhoršení důvěryhodnosti všech státních institucí. Dnes je již zřejmé, že právě toto se stalo díky Snowdenovu odhalení. Teď jde o to, zda se vlády USA a Británie poučí a uvědomí si, že chybou nebylo to, že Snowden tajné informace vyzradil, ale to, že v tomto případě dospělo plošné šmírování lidí již tak daleko, že ono vyzrazení bylo ve skutečnosti morálně odůvodněné a správné. Snowden proto není zločincem, ale hrdinou. Za poškození pověsti jsou zodpovědní ti, kteří dali k takto rozsáhlému zneužití dat příkaz (srovnej s Aaronem Swartzem).

Ukazuje se, že by tento čin mohl mít na budoucnost demokracie přece jen pozitivní vliv. Americká legislativa v současné době pracuje na dvou protichůdných zákonných iniciativách. Starší z nich je další dodatek k zákonu Foreign Intelligence Surveillance Act (FISA) s názvem FISA Improvements Act. Jeho cílem je usnadnit tajným službám práci a uvést současně již existující Snowdenem vyzrazenou praxi neomezeného masového sledování lidí do souladu se zákonem. Proti tomu stojí návrh nového zákona USA Freedom Act, který se pokouší potřeby obrany státu uvést do souladu se současným vývojem internetu a přesně definuje možné postupy sledování lidí vládou a povinnosti provozovatelů služeb potřebná data poskytovat. Momentálně to vypadá, že v USA má větší naději na schválení ta druhá rozumnější iniciativa.

Podporují ji i velcí hráči na trhu s technologiemi (např. Apple, Microsoft, Google ad.), kteří již delší dobu chtě nechtě na základě FISA musí poskytovat vládě USA (i jiným) data o těch uživatelích, u nichž si je vyžádá. Zveřejňovat jejich přesný počet sice americký zákon neumožňuje, ale je známo, že jen u firmy Apple jich jsou tisíce ročně (viz New Reform Bill To Legalize “Mass Surveillance” In The U.S.). Zrovna tento týden začal Dropbox rozesílat všem svým uživatelům dopis, v němž je informuje o svém přístupu k povinnému poskytování dat americké vládě (Dropbox's Government Data Requests Principles). Zde je to podstatné:

Zásady firmy Dropbox pro poskytování uživatelských dat na základě požadavků vlád

Chápeme, že když nám svěřujete svůj digitální obsah, očekáváte, že u nás bude v bezpečí. Jako většina online služeb občas dostáváme žádosti od vlád na poskytnutí informací o našich uživatelích. Toto jsou zásady, které se snažíme v takových případech aplikovat a zároveň prosazujeme přijetí nových zákonů, které by vaše soukromí chránily lépe.

Transparentnost: Online služby by měly mít právo zveřejňovat (dosud v USA zakázané) přesné počty a specifikaci žádostí, které od vlád dostávají.

Nespecifikované žádosti: U všech požadavků musí být přesně definováno, koho se týkají a proč jsou požadovány. Zásadně neposkytujeme plošné informace o větších skupinách lidí.

Ochrana všech uživatelů: Požadavky na předání uživatelských dat z online služeb by neměly nakládat odlišně s lidmi na základě jejich národnosti či místa bydliště.

Důvěryhodné služby: Vlády by neměly mít právo zavádět přímo do internetové infrastruktury takové kontrolní mechanizmy, které by jim umožňovaly získávat uživatelská data zcela nekontrolovaně. Budeme pracovat na tom, aby naše systémy nic podobného neumožňovaly, i na tom, aby podobné aktivity byly nelegální.

Jak vidno, nelze u cloudových aplikací rozhodně očekávat úplné soukromí. Obava z možného zneužití informací je na místě. Určitě se to týká osobních dat učitelů a žáků, ale celkem jistě to nemůže představovat problém pro ukládání výstupů výukových aktivit při dodržování základních principů bezpečnosti. Hlavním požadavkem pro aplikování těchto služeb ve výuce je možnost vložená data v případě potřeby zase smazat. To všechna v našem seriálu popisovaná cloudová úložiště splňují.

Nezpochybnitelná ochrana soukromí zákazníků se stává velice důležitou podmínkou pro zachování dobrého jména firmy, a proto má zásadní význam pro její další rozvoj. Je velmi pravděpodobné, že ty služby, které dovolí svým uživatelům plně kontrolovat, jaká data se o nich ukládají, budou mít v blízké budoucnosti konkurenční výhodu. Doufám, že to bude brzy platit i o datech produkovaných výukovou činností našich žáků.

 

Zájemcům doporučuji si přečíst v mnoha ohledech související článek, který popisuje, jak problematiku zneužití velkých dat vidí známá kurátorka vzdělávacích technologií Audrey Watters - Školská data jako předmět podnikání.

Licence

Všechny články jsou publikovány pod licencí Creative Commons BY-NC-ND.

Hodnocení od uživatelů

Bořivoj Brdička
28. 2. 2014, 11:13
Privacy Technical Assistnace Center amerického federálního ministerstva školství zrovna vydalo nový dokument pojednávající o ochraně dat žáků při využití soukromých vzdělávacích služeb. Shrnu to nejdůležitější. Takovéto služby nesmějí používat tato data žádným jiným způsobem, než na předávání (nejlépe v analyticky zpracované formě) učitelům (školám, zřizovatelům) a pro potřeby vlastního rozvoje. Ale v tom posledním případě výhradně jen anonymizovaná.
Protecting Student Privacy While Using Online Educational Services: Requirements and Best Practices
Bořivoj Brdička
1. 3. 2014, 11:41
Je celkem jisté, že se bezpečnost dat v mracích stane brzy docela zásadním problémem. Zvláště tam (tedy i u nás), kde se zákonné úpravy za praxí zpožďují. Než se k problematice vrátíme, budu oznamovat alespoň důležité aktuální zdroje. Zde je další (SIIA=Software & Information Industry Association):
MARK SCHNEIDERMAN - SIIA Announces Industry Best Practices to Safeguard Student Information Privacy and Data Security and Advance the Effective Use of Technology in Education, FEBRUARY 24, 2014
E Kocourek
1. 3. 2014, 17:28
Spoléhání na dobrou vůli provozovatelů cloudových úložišť a cloudových služeb (třeba Dropbox) je šílená naivita hraničící s hloupostí (eufemismus), a spoléhání na zákonné úpravy (a tedy na dobrou vůli politiků) snad ani nelze považovat za naivitu.
Uživatelé, spíše nežli se oddávat naivnímu snění o ochraně dat, kterou ZA NĚ zařídí někdo jiný, by si raději měli rozmyslet kategorie svých dat. Která data jsou nezneužitelná a lze je bez obav umístit na cloud, která data je NEVYHNUTELNÉ kryptovat, a konečně která data na cloud prostě NESMÍ za žádných okolností.
Když už někdo chce spoléhat na zákonné úpravy (a tedy na dobrou vůli politiků), případně pokud někdo chce tento postup obecně doporučovat učitelům a studentům, měl by si možná zjistit, jak je to v U.S.A. s legálními možnostmi kryptování dat.
Bořivoj Brdička
2. 3. 2014, 10:24
Dovolím si dovysvětlit, kam směřuje ukládání dat z výukových aplikací. Budoucnost má analýza výukových výsledků (http://spomocni…k/17421/ ), tedy zaznamenávání skoro všeho, co žák při výuce dělá (velká data). Je to trochu podobné tomu, když dnes Google ukládá vše, co hledáme, či analyzuje vše, co máme na disku. Asi si to zatím ani neumíme představit, ale takovou analýzu budou brzy nabízet všichni dodavatelé technologií do škol. Pokud se do toho stát nevloží, budou se všichni snažit na datech získaných činností žáků nějak profitovat. Poznáte to typicky již dnes, když je v podmínkách užívání napsáno, že data mohou být ke zpracování předána třetím stranám. Nějaké kriptování na úrovní souborů či přenášení dat mezi konkrétními počitači je na hony této problematice vzdáleno.
Bořivoj Brdička
4. 5. 2014, 09:04
Následující článek Gerry Grealishe z Cloud Computing Journal popisuje 3 nové zákony (Austrálie, Německo, Velká Británie) regulující přenos osobních dat občanů získaných globálními online službami za hranice státu - Key Data Residency Requirements Global Organizations Need to Understand.

Váš komentář

Pro vložení komentáře je nutné se nejprve přihlásit.

Zařazení do seriálu:

Tento článek je zařazen do seriálu Cloudová úložiště ve škole.
Ostatní články seriálu: