Płacimy przelewem przez Internet, codziennie korzystamy z
poczty elektronicznej i portali społecznościowych. Czuje się pan
zagrożony korzystając z Internetu?
Nie, nie odczuwam stałego
lęku o swoją prywatność w sieci. Jak dotąd nie spotkało mnie nic bardzo
nieprzyjemnego. Dodawano jedynie mój adres e-mailowy do list spamowych i
dostawałem masę niechcianych listów. Zdaję sobie sprawę, jakie mogą być
zagrożenia w sieci.
Jakie to zagrożenia?
Choćby
takie, że dane raz umieszczone w sieci pozostają poza naszą kontrolą.
Często nie mamy świadomości, że jakieś dane zostały zapisane i bardzo
trudno o ich usunięcie, bo są zapisane w tak wielu źródłach, że w
praktyce nie ma możliwości, żeby je całkowicie i trwale usunąć. Poza tym
w skład informacji o nas wchodzą nie tylko te podstawowe, jak treści
e-maili jakie wysyłamy, ale również metadane – na przykład zapisy czasów
w jakich odwiedzaliśmy pewne strony www. Nierzadko dane można łączyć z
innymi odkrywając informacje o naszym zachowaniu, preferencjach,
poglądach, stanie zdrowia czy statusie materialnym. Na przykład ktoś
może wiedzieć, że pracuję na politechnice, kiedy mam zajęcia i jestem
poza domem. Ktoś inny może znać numer mojego telefonu i konta bankowego,
czy numer karty kredytowej, i ile pieniędzy wydaję. Jeśli te dane z
kilku różnych źródeł uda się połączyć może to ułatwić pracę złodziejowi.
Wymaga to oczywiście współpracy między podmiotami, które takie
informacje posiadają. Jeśli ktoś ma nakaz sądowy, to grzebanie w
informacjach o danej osobie może być bardzo efektywne. Stąd organy
ścigania bardzo często korzystają z takich informacji. Niemniej wiadomo,
że wiele informacji można uzyskać zupełnie legalnie bez żadnych
nakazów. Z tego korzystają firmy windykacyjne. Ale nawet za danymi, do
których powiny mieć dostęp jedynie uprawnione podmioty, mają w końcu
dostęp pewni ludzie, choćby po to, żeby nimi administrować. A
doświadczenie uczy, że ludziom nie zawsze możemy ufać.
Zachowanie pełnej anonimowości nie jest więc możliwe?
To
zależy, jak wysoki poziom anonimowości mamy na myśli, jak rozumiemy
anonimowość i jakie możliwości ma osoba która chce informacje o nas
uzyskać. Okazuje się, że samo zdefiniowanie anonimowości nie jest
zadaniem prostym. Mimo kilkunastu lat pracy teoretyków i praktyków w
wielu dobrych ośrodkach badawczych na świecie nie ma consensusu co do
tego, czym jest anonimowość w sensie ogólnym. Wiele zależy od specyfiki
konkretnego systemu. Czym innym jest anonimowość w Internecie, czym
innym anonimowa płatność. Przede wszystkim rzeba odróżnić anonimowość od
poufności. Poufność sprowadza się do tego, żeby ukryć treść komunikatu.
Wyobraźmy sobie grupę osób, w której dwie osoby zaczynają rozmawiać w
niezrozumiałym dla pozostałych języku. Taki komunikat jest poufny, bo
treść znają tylko te dwie osoby. Stosując klasyczne już obecnie techniki
kryptograficzne, wiadomości możemy zaszyfrować i uzyskać właśnie taki
efekt. Czy jednak taka zaszyfrowana komunikacja nie zdradza o rozmówcach
żadnych informacji? Taka komunikacja nie jest anonimowa, bo pozostali
członkowie grupy wiedzą, że te osoby rozmawiają. Natomiast anonimowość
należy rozumieć w ten sposób, że nie zna się nie tylko treści
komunikatu, ale samego faktu, że komunikacja między dwoma osobami jest
prowadzona. Poza tym sama długość trwania zaszyfrowanej rozmowy wiele
może o jej treści powiedzieć. Przekładając to na dzisiejsze realia – sam
fakt, że łączymy się z pewnym serwerem stron www, choćby szyfrowanym
połączeniem, może wiele o nas powiedzieć.
Jak zadbać o naszą anonimowość, czy też poufność w praktyce?
Przy
zachowaniu zdrowego rozsądku i ostrożności jest możliwe ograniczenie
pewnych zagrożeń. Należy przestrzegać podstawowych reguł bezpieczeństwa
komputerowego. W przypadku Internetu trzeba korzystać z komputerów z
odpowiednim, zaktualizowanym oprogramowaniem antywirusowym. Szczególną
ostrożność należy zachować przy używaniu systemów e-bankowości, w tym
korzystać z dodatkowych zabezpieczeń (na przykład haseł jednorazowaych
czy smsowych). Należy stosować odpowiednie hasła. Dla zachowania pewnego
poziomu anonimowości przy przeglądaniu Internetu można rozważyć
zastosowanie tzw. sieci anonimizujących – na przykład systemu TOR.
Przede wszystkim jednak trzeba mieć świadomość, że dane raz umieszczone w
sieci są już poza naszą kontrolą i potencjalnie mogą być wykorzystane
kiedyś przeciwko nam.
A jak pogodzić anonimowość i korzystanie z serwisów społecznościowych?
To
kolejny problem, bo nasze dane nie są wyłącznie w naszych rękach. Ktoś
może umieścić np. zdjęcie grupowe z czasów szkolnych w serwisie
społecznościowym i może to zrobić osoba, z którą nie mamy od dawna
kontaktu. Możemy więc nie mieć konta na portalu, ale znajdują się tam
nasze zdjęcia. Te informacje w powiązaniu z innymi, np. za 20 lat, mogą
się okazać dla nas kłopotliwe. Wyobraźmy sobie umieszczone w sieci
zdjęcie z kolegą, który okaże się sławnym malwersantem. Spowoduje to, że
stracimy mocno na wiarygodości, choć kolegi nie widzieliśy od 20 lat a o
istnieniu zdjęcia nawet nie wiemy. Z licznych doniesień wiadomo, że
serwisy społecznościowe były nierzadko wykorzystywane do zdobywania
informacji o przestępcach. W dobrym tonie, z wielu względów, jest więc
nie umieszczać informacji o innych w sieci. Ale życie uczy, że ludzie
często nie zachowują się tak jak należy, bo nie mają świadomości
zagrożen albo je lekceważą.
Na ile więc sami naruszamy własną prywatność?
Ludzie
raczej nie mają zbyt dużej świadomości, że ich prywatność jest
wartością. Na portalach społecznościowych sami ujawniają prywatne dane,
często dotyczące sytuacji rodzinnej, statusu materialnego. W
dzisiejszych czasach choćby dla firm windykacyjnych serwisy
społecznościowe mogą być istotnym źródłem informacji dotyczącej sytuacji
majątkowej danej osoby.
Czy problem anonimowości dotyczy wyłącznie komputerów?
Nie
tylko typowych "dużych" komputerów czy korzystania z Internetu. Trzeba
wiedzieć, że wiele informacji o nas, o naszych zwyczajach, miejscu
pobytu, przekazujemy również przez telefony komórkowe. Telefon, nawet
bez GPS, musi co jakiś czas łączyć się ze stacjami bazowymi sieci
komórkowej, żeby pozostawać "w zasięgu", co pozwala zlokalizować z
pewnym przybliżeniu właściciela. Jest to bardzo pomocne w policyjnych
śledztwach, żeby ustalić, np. gdzie była dana osoba chwili popełnienia
przestępstwa. Wykorzystuje się też takie informacje przy poszukowaniu
osób zaginionych. Zatem informacje tego typu o nas są zbierane i ktoś
może z nich skorzystać, także w nielegalny sposób. Oczywiście dla
zwykłego użytkownika telefonu nie musi oznaczać to od razu zagrożenia.
Posługując się danymi z e-maili, telefonów komórkowych można określić tożsamość osoby?
Jest
to w wielu przypadkach możliwe. To zależy od możliwości technicznych i
prawnych tych, którzy chcą to zrobić. Wiele danych możemy ukryć, ale z
dużą dozą prawdopodobieństwa można stwierdzić, że przynajmniej części
danych ukryć się nie da.
Pracownik CIA Edward Snowden
poinformował świat o kierowanej na wielką skalę inwigilacji
elektronicznej, jaką prowadzi w USA Narodowa Agencja Bezpieczeństwa
(NSA) za pomocą programu PRISM.
Tak naprawdę niewiele
wiemy. Snowden twierdzi, że rząd USA przy współpracy z dużymi graczami
na rynku przetwarzania informacji śledzi na masową skalę ludzi i
gromadzi dużą ilość danych. Dla mnie ta informacja nie jest zaskakująca.
Wiadomo, że władze zupełnie legalnie uzyskują dostęp do pewnych
prywatnych danych. Pytanie jest tylko o skalę zjawiska. Czy ma to
charakter incydentalny i reaktywny (w sytuacji podejrzenia sprawdza się
dane o konkretnych osobach), czy raczej prewencyjny i masowy (zbiera się
i kontroluje wszystko, co można), jak sugeruje relacja Snowdena. Na ile
jest to prawda, trudno w tej chwili ocenić na podstawie dostępnych
informacji, ale jest to bardzo możliwe. Musimy pamiętać, że
rozpowszechnianie pewnych informacji tego typu (nawet jeśli nie byłyby
prawdziwe) powoduje zawsze duży oddźwięk społeczny i może na przykład
pomóc jednym firmom, a zaszkodzić innym. Podobnie z samymi służbami.
Dlatego za prawdziwość tych informacji nie mógłbym gwarantować. Myślę
jednak, że należy zakładać, że tak przedstawiana wersja jest jak
najbardziej możliwa. Natomiast niewiele dowiedzieliśmy się o szczegółach
technicznych tego systemu.
Czy na PWr są prowadzone badania dotyczące anonimowości w sieci?
Badania
dotyczące teorii (i coraz bardziej praktyki) anonimowej komunikacji
prowadzi zespół profesora Mirosława Kutyłowskiego. Profesor Kutyłowski
jest pionierem w Polsce, jeśli chodzi o badanie tego zagadnienia.
Ochrona prywatności w komunikacji elektronicznej jest bardzo nową
dziedziną i wiele aktualnych pytań pozostaje otwartych. Badania te są
interdyscyplinarne – wymagają zaawansowanej matematki, bardzo dobrej
znajomości realiów technicznych czy nawet prawnych.
Rozmawiała Małgorzata Jurkiewicz
Dr
hab. inż. Marek Klonowski pracuje w grupie informatyków, prowadzonej
przez profesorów Mirosława Kutyłowskiego i Jacka Cichonia w Instytucie
Matematyki i Informatyki Politechniki Wrocławskiej. W 2003 roku ukończył
matematykę na Wydziale Podstawowych Problemów Techniki, a w 2007 roku
informatykę na Wydziale Informatyki i Zarządzania. Doktoraty z
matematyki i informatyki (2006, 2009) dotyczyły anonimowej komunikacji. W
2012 roku uzyskał stopień doktora habilitowanego w Instytucie Podstaw
Informatyki Polskiej Akademii Nauk w Warszawie. Jest laureatem Nagrody
Lipskiego (2008). Zajmuje się anonimowością w ujęciu matematycznym,
kryptografią oraz systemami rozproszonymi.