Nahliadnutie do zborníka príspevkov nedávno konanej konferencie Informačná bezpečnosť 2010 mi poskytlo ďalšie informácie o prístupe k bezpečnosti v projekte Elektronickej zdravotnej knižky občana (EZKO). Aj keď doteraz sprístupnené informácie rozhodne nie sú kompletné, čo-to prezrádzajú o „filozofii“ riešenia bezpečnosti v tomto projekte, a snáď aj v rámci slovenského e-Health. Na ich základe som dospel k názoru, že projekt EZKO by mohol byť v učebniciach informačnej bezpečnosti uvádzaný ako príklad riešenia bezpečnosti. Dokonca v dvojroli – „ako sa to má robiť“ i „ako sa to robiť NEMÁ“ – podľa toho, koho záujmy majú byť prioritné pri riešení bezpečnosti informačného systému. pokračovanie článku
Nie je tajomstvom, že obraz našej polície, obzvlášť jej zložiek zasahujúcich pri raziách či nepovolených zhromaždeniach, nie je práve najlepší. A to aj napriek tomu (alebo práve preto?), že už aj vo výcviku policajtov sa uplatňujú vedecké poznatky . Je najvyšší čas seriózne sa zaoberať účinnými spôsobmi ako zlepšiť imidž kukláčov či policajných ťažkoodencov – a ako to už býva, tam, kde zlyhávajú doterajšie (vedecky podložené) postupy, pataveda jasne ukazuje svoju silu, spočívajúcu v komplexnom a zároveň prísne logickom pohľade na svet a odvážnom prekračovaní limitov vedeckých disciplín i zažitých mentálnych bariér. pokračovanie článku
Ako som na tomto mieste už párkrát spomenul, pre vývoj disciplíny informačnej bezpečnosti je v posledných rokoch charakteristická inšpirácia „netechnickými“ disciplínami, ako psychológia, sociológia či ekonómia. Keďže podľa mojich vedomostí sa tomuto trendu rozvoja informačnej bezpečnosti na Slovensku nikto seriózne nevenuje (budem len rád, ak ma niekto opraví a upozorní na jednotlivcov či pracoviská, ktorí/é sa takýmto smerom rozvoja disciplíny zaoberajú), snáď bude užitočné uviesť ilustratívny príklad prínosu nového pohľadu na existujúce problémy v praxi riešenia bezpečnosti. Konkrétne, uvažujme pokračovanie článku
Priznám sa, keď Národná stratégia pre informačnú bezpečnosť v SR avizovala zámer vypracovať zákon o informačnej bezpečnosti, staval som sa k tomu skepticky. Tak a teraz tu máme jeho náčrt – Ministerstvo financií zverejnilo na pripomienkové konanie návrh tzv. legislatívneho zámeru zákona o informačnej bezpečnosti. To, že neobsahuje znenie konkrétnych ustanovení (paragrafov), umožňuje bez zbytočného vyrušovania detailami urobiť si predstavu o tom, čo a akým spôsobom sa má riešiť prijatím takého zákona. pokračovanie článku
V súčasnosti u nás platí zákon o ochrane osobných údajov prijatý v r.2002, jeho drobné novely v priebehu nasledovných pár rokov. V roku 2007 mal Úrad na ochranu osobných údajov (ďalej „Úrad“) predložiť návrh novely, ktorá by rešpektovala „potrebu zosúladenia zákona s legislatívou EÚ, hlavne so smernicou Európskeho parlamentu a Rady 95/46/ES o ochrane fyzických osôb pri spracúvaní osobných údajov a voľnom pohybe týchto údajov a pripomienok v zmysle listu ... Generálneho riaditeľstva pre spravodlivosť, slobodu a bezpečnosť (Európskej komisie)“. Návrh mal Úrad predložiť v decembri 2007, ale pokračovanie článku
Ministerstvo financií zverejnilo ďalší z dokumentov, ktorý by mal upravovať vývoj v oblasti informačnej bezpečnosti na Slovensku - Návrh úloh Akčného plánu na obdobie rokov 2009 až 2013. Tak sa do neho začítajme... pokračovanie článku
Ľudia obvykle chcú, aby o nich ostatní vedeli, tak kto by si už želal, aby na neho ľudia zabudli? Pochopiteľnejšia je však túžba, aby ostatní zabudli selektívne, len niektoré výroky či skutky – samozrejme podľa nášho výberu. To, že nie je také jednoduché to dosiahnuť, by malo teoreticky viesť k tomu, aby sa ľudia správali rozvážnejšie – každodenne sa však môžeme presviedčať, ako je táto teória je od praxe vzdialená. Čo sa však do istej miery dosiahnuť dá, je dodatočná úprava časti histórie – zaznamenanej na fotografiách či v písomných dokumentoch, zachytávajúcich (popisujúcich) predmetnú udalosť a účasť jednotlivých ľudí na nej. To, že sa to technicky dá zrealizovať, však ešte neznamená automaticky pokračovanie článku
Prípad „Elektronická zdravotná karta občana“ (EZKO) som síce už komentoval v predchádzajúcom článku, ale v ňom som sa sústredil len na otázky bezpečnosti. To však nie je to isté ako ochrana súkromia (osobných údajov), čo považujem za prinajmenšom rovnako dôležitý problém. A z príspevkov v diskusiách k článkom na tému EZKO možno usúdiť, že nedostatočne pochopený. pokračovanie článku
Prípad „Elektronická zdravotná karta občana“ (EZKO) vzbudil slušný záujem médií i ľudí, čo sa o.i. premietlo do značného počtu článkov a príspevkov v diskusných fórach. Analýzou samotnej špecifikácie EZKO ako aj prezentovaných názorov možno dôjsť k dvom hlavným záverom – a) počet ľudí, ktorí si uvedomujú dôležitosť bezpečnosti a ochrany súkromia rastie (dobrá správa) a b) pri návrhu i hodnotení EZKO absentuje komplexný pohľad, ľudia sa sústreďujú len na niektoré, často okrajové, problémy a ignorujú omnoho väčšie (zlá správa). Pokúsme sa prehľadne charakterizovať kľúčové otázky bezpečnosti EZKO a súvisiace názory (téma EZKO a ochrana súkromia si zaslúži samostatný článku), teda bez toho, aby sme sa zaplietli do zbytočných detailov. Za cenu istého zjednodušenia na to použijeme nasledovné podobenstvo... pokračovanie článku
Programy a priority politických strán nezvyknú klásť dôraz na ochranu súkromia – a na praxi ochrany súkromia to aj vidieť. Situácia sa však, zdá sa, konečne mení, keď po prvej lastovičke - zatiaľ skôr okrajovej, novovzniknutej švédskej Pirátskej strane - sa tejto témy chytili aj britskí konzervatívci. Ich zodpovedajúci pokračovanie článku
Dvadsaťpäť rokov nie je v existencii civilizovanej spoločnosti nejaká významná doba, v rámci existencie moderných informačných a komunikačných technológií (IKT) i informačnej bezpečnosti je to však naozaj dosť. Pred vyše štvrťstoročím (v r. 1983) boli v USA publikované vôbec prvé kritériá hodnotenia bezpečnosti počítačových systémov, tzv. Orange book (oficiálny názov „Trusted Computer Security Evaluation Criteria“). Ich autori už vtedy jasne presadzovali princíp, podľa ktorého celková bezpečnosť systému závisí okrem nasadenia rôznych bezpečnostných mechanizmov aj od toho, pokračovanie článku
Ak vychádzam z diskusií na Internete či otázok, ktoré dostávam, nemôžem sa zbaviť dojmu, že nezanedbateľné množstvo ľudí má problémy zorientovať sa v oblasti ochrany osobných údajov. Súvisiaca neistota, či až „strach z neznámeho“ sa prejavuje napríklad až prehnanými názormi na to, čo druhí o mne nesmú vedieť (pamätný je pre mňa prípad, na ktorý ma pred časom upozornili na mestskom úrade nemenovaného krajského mesta – po mimoriadne nekvalifikovanej reportáži jednej televízie o ochrane osobných údajov niektorí občania, ktorí prišli na úrad vybaviť svoje záležitosti, odmietali povedať aj svoje meno...). V dnešnej dobe snáď už nehrozí, že by taký strach z neznámeho viedol až k ceremóniam obetovania „božstvu pre osobné údaje“ (žeby Úrad na ochranu osobných údajov? :-), ktoré by mali zaistiť ochranu našich údajov, asi by však neuškodilo, keby sa viac ľudí vedelo s väčšou istotou orientovať v tejto oblasti. Nie je to však také jednoduché... pokračovanie článku
Zdá sa, že dosť ľudí vníma sociálne siete na Internete predovšetkým ako „cool“ spestrenie života dnešnej generácie, ale len poniektorí si uvedomujú dôsledky toho, že umožňujú pohodlne a bez nasadenie drahých odpočúvacích prostriedkov či manažovanie siete agentov (s rôznorodou motiváciou i spoľahlivosťou) sledovať myslenie či aktivity iných ľudí. Aj keď to vyzerá ako úplná banalita, dôležité je práve to, že sa podstatne znížila náročnosť získavania informácií o tých druhých. A ako sa ukazuje, ponúkanú príležitosť dokážu ľudia využiť. pokračovanie článku
Zdá sa, že oznámenie o tom, že Slovenská republika začína vydávať pasy obsahujúce už aj odtlačky prstov, vyvolalo u nás pomerne slušnú pozornosť. Reakcie v diskusiách na Internete, ale aj otázky, ktoré som v tejto súvislosti dostal, ukazujú, že dosť ľudí vníma túto skutočnosť ako (ďalšie) ohrozenie ich súkromia. Na druhej strane si nemožno nevšimnúť, že značná časť ľudí sa v tejto oblasti orientuje skôr na základe emócií či pod vplyvom filmov a vízií, ktoré súčasnú realitu ešte neodrážajú. Skúsme sa teda na nové pasy pozrieť bez zbytočných emócií. pokračovanie článku
Dosť ľudí v dnešnej dobe cestuje do zamestnania autom aj preto, aby sa vyhli fyzickej blízkosti cudzích ľudí v preplnených autobusoch či iných prostriedkoch hromadnej dopravy. V tomto prípade ide o ich vedomé rozhodnutie "izolovať sa" od časti ľudí. Izolovať sa od ľudí však možno aj inak a nie nutne vedome - jednoducho používaním moderných technológií. Tie nám ponúkajú rôzne možnosti ako si uľahčiť život, sprievodným javom však často je minimalizácia kontaktov s inými ľuďmi. Napríklad - ak človek dostáva výplatu priamo na bankový účet, ani nemusí vedieť, kto u jeho zamestnávateľa zodpovedá za pokladňu. Vďaka internetbankingu a bankomatom sa minimalizujú kontakty so zamestnancami (pobočky) banky. Ani s predavačkou v novinovom stánku sa človek nemusí vidieť – noviny si prečíta na Internete a lístok na mestskú hromadnú dopravu si môže kúpiť zaslaním SMS. pokračovanie článku
Keď 2. novembra 1988 večer vypustil Robert T. Morris do prostredia Internetu dnes už známeho „Internetového červa“ (Internet Worm), zrejme nemal predstavu, čo tým spôsobí. Prebdená noc (základná analýza činnosti červa, ako aj jeho spätný preklad do jazyka C boli ukončené až 3. novembra nadránom) mnohých postihnutých, ktorí sa usilovali zistiť čo sa vlastne deje a ako sa proti dovtedy neznámej hrozbe brániť, ako aj mediálny rozruch boli len prvým a okamžitým dôsledkom. Rýchle odhalenie vinníka (Morrisa prezradil jeho kamarát) však Američanom nestačilo pokračovanie článku
Nikoho by nemalo prekvapiť, že v informačných systémoch štátnej (verejnej) správy sa nachádzajú osobné údaje občanov tejto krajiny – veď na to boli tie systémy vybudované. Kto však má prehľad o tom, kde všade sa jeho osobné údaje vyskytujú, koľko osôb má k nim prístup, ako je to s dodržiavaním zásad pre spracovanie osobných údajov, a ako sú vlastne tieto údaje chránené? Podobné otázky si po sérii medializovaných „trapasov“ opakovane odhaľujúcich laxný prístup štátu k ochrane osobných údajov občanov položili vo Veľkej Británii. Nedávno zverejnené zhodnotenie súčasného stavu stojí za povšimnutie. pokračovanie článku
Čo si myslíte o dokumente, z ktorého sa dá usúdiť, že už čoskoro by sa žiaci základných a stredných škôl mali učiť základy kryptológie, manažmentu informačnej bezpečnosti, riadenia prístupu, aplikačnej bezpečnosti, bezpečnosti prevádzky, sieťovej bezpečnosti, plánovania kontinuity činností a legislatívy a etiky z oblasti informačnej bezpečnosti? Že prečo by sa mali základy kryptológie či manažmentu bezpečnosti učiť aj žiaci, ktorí sa v živote budú pohybovať v iných sférach ako v informatike (a tých je a bude väčšina)? Aj tam budú používať počítače a aj používatelia – počítačoví laici podľa predstáv autora „Návrhu systému vzdelávania v oblasti informačnej bezpečnosti v SR“ (ďalej len „Návrh“) musia na nejakej základnej úrovni ovládať uvedené oblasti (Návrh do kategórie laikov zaraďuje aj žiakov základných a stredných škôl). Návrh zverejnilo Ministerstvo financií 31.marca, nie ako predčasný prvoaprílový žartík, ale ako jeden z dokumentov nadväzujúcich na Národnú stratégiu pre informačnú bezpečnosť v SR (ďalej „Stratégia“), ktorú v minulom roku prijala vláda. Návrh sa vyznačuje viacerými charakteristikami, ktoré má spoločné so Stratégiou, a s ktorými sa akosi neviem stotožniť. pokračovanie článku
Tak nazvali svoju knihu (The New School of Information Security, Addison-Wesley, 2008)) Adam Shostack a Andrew Stewart. Nie je to iba ďalšia z množstva kníh venovaných riešeniam bezpečnosti – na rozdiel od iných diel sa v tomto prípade autori zamýšľajú – a poriadne kriticky – nad samotnou disciplínou informačnej bezpečnosti. Základný prístup autorov naznačuje už názov prvej kapitoly („Observing the World and Asking Why“) – otázka „prečo“ je jedna z kľúčových, prinajmenšom pre prvú polovicu knihy. Stručne – je ťažké sa zbaviť dojmu, že informačná bezpečnosť zlyháva, a preto je namieste zamyslieť sa, prečo je svet IT/bezpečnosti taký, aký je. Ak informačná bezpečnosť zlyháva, asi na to ideme zo zlého konca. Ak dnes neprijímame dobré rozhodnutia, prečo je to tak? pokračovanie článku
Nie azda názornejšieho negatívneho príkladu kam ľudí vedie posadnutosť vedou a vedeckým prístupom, ako súčasná výučba fyziky. Vezmime si trebárs tak elementárny jav, ako je pohyb nejakého telesa – „vedecky“ sa popíše tak, že sa teleso nahradí abstrakciou akéhosi hmotného bodu a ďalej sa už potom pracuje len s bodom, jeho rýchlosťou, zrýchlením, a tak podobne. Zjednodušenie, ktoré sa vďaka výučbe fyziky v našich školách tak zaužívalo, že sa už nikto ani nepozastavuje nad tým, ak sa spätne prenáša do reálneho života. Patavedecký, prísne logický pohľad pritom odhalí, k akým absurdnostiam v reálnom svete takýto postup vedie ... pokračovanie článku
Táto téma sa nás z času na čas objaví, podľa poslednej iniciatívy ohlásenej aj na blog.sme.sk by mala byť dokonca otázkou v referende. Potešilo ma, že v diskusii k zmienenému článku nechýbali triezve hlasy, upozorňujúce na to, že bezpečnosť v tomto prípade neznamená len postarať sa o to, aby boli hlasy správne sčítané, ale že problém je o dosť zložitejší. Na druhej strane ma trochu prekvapilo, že diskutujúci ako keby nedocenili vážnosť hrozby pokračovanie článku
Tak nejako by sa dal preložiť podtitul knihy Grega Contiho (G.Conti: Googling security – How much does Google know about you?) vydanej v októbri 2008. Google v nej autorovi slúži ako ilustratívny príklad toho, ako za používanie rôznych prostriedkov a služieb uľahčujúcich život, platíme „mikroplatbami osobných informácií“ – a to sa samozrejme nevzťahuje len na Google. pokračovanie článku
Vedeli ste, že včera (28. januára 2009) bol celoeurópsky Deň ochrany osobných údajov? Ide o iniciatívu Rady Európy, ktorú podporuje aj Európska komisia, v rámci ktorej sa od organizácií pre ochranu osobných údajov v jednotlivých štátoch očakáva, že budú rôznymi formami šíriť osvetu o ochrane osobných údajov a informovať občanov o ich právach v tejto oblasti a spôsoboch, ako sa môžu domáhať uplatňovania týchto práv. O tom, čo jednotlivé národné organizácie pre ochranu osobných údajov prisľúbili zorganizovať pri príležitosti tohto dňa, sa možno dočítať na webstránke Data Protection Day ... a veru nechýba tam ani náš Úrad na ochranu osobných údajov! Naplánoval 8 aktivít, okrem iného pokračovanie článku
Môj vzťah k prieskumom, obzvlášť k tým, ktoré sa týkajú informačnej bezpečnosti či ochrany súkromia, možno charakterizovať ako opatrne rezervovaný. Na druhej strane im neupieram, že prinajmenšom umožňujú získať približnú predstavu o stave, či „typických“ názoroch na stav, v danej oblasti. A niekedy výsledky prieskumu predstavujú celkom zaujímavé čítanie, obzvlášť ak prieskum kombinuje otázky dvoch typov – tie, ktoré sa pýtajú na skutočnosti a tie, ktoré sa pýtajú na úsudok respondenta. V takom prípade totiž možno porovnať, do akej miery sa nahlásené skutočnosti zhodujú s vlastnými úsudkami respondentov. pokračovanie článku
Kyberterorizmus - téma, ktorú nie tak dávno „spopularizovala“ praktická skúsenosť Estónska. Malá hádanka - ak sa na Slovensku niekto pokúsi vytvoriť priestor na diskusiu či prezentáciu názorov na tému kyberterorizmu či útokov väčšieho rozsahu v kyberpriestore, koho názory tam budú chýbať? pokračovanie článku
Niekedy stačí naozaj málo, aby sa dôležité/osobné údaje dostali tam, kde by sa dostať nemali. Nedávny prípad v Nemecku ukázal, že stačí aby niekto mal chuť na sladké... pokračovanie článku
Informačné technológie, Internet, virtuálny svet ... ich vplyv sa od istého okamihu začína odrážať aj v reálnom svete. Stojí za to sa nad touto témou aspoň z času na čas zamyslieť. Rôzne historky, zábavné pre nezúčastnených, môžu trebárs signalizovať potenciálne problémy s uplatňovaním právnych noriem. Napríklad, nie je virtuálne zabitie ako virtuálne zabitie... vášniví hráči niektorých počítačových hier majú „na svedomí“ množstvo virtuálne zabitých virtuálnych postáv či všakovakých príšer, a nikto im to nevyčíta. Keď však jedna japonská účastníčka interaktívnej hry v návale emócií z náhleho rozvodu jej predstaviteľky vo virtuálnom svete pokračovanie článku
V súčasnosti platný zákon o ochrane osobných údajov bol prijatý v r.2002, jeho ostatná novelizácie v r. 2005. Návrh ďalšej novely mal Úrad na ochranu osobných údajov predložiť v decembri 2007, ale už v októbri požiadal o presunutie úlohy na r. 2008. V legislatívnom pláne vlády na r. 2008 je predloženie návrhu novely plánované na december – podľa programu najbližšieho rokovania vlády však Úrad opäť žiada o zrušenie tejto úlohy a jej presunutie na r. 2009. Odôvodnenie je pritom rovnako (ne)konkrétne ako pred rokom – „Vzhľadom na rozsiahlosť navrhovaných zmien je nevyhnutné niektoré z nich podrobnejšie preskúmať a prekonzultovať, na čo je potrebné časový priestor rozšíriť.“ pokračovanie článku
Pred pár dňami som sa zúčastnil na workshope, ktorý myslím celkom pekne ukázal prístupy k ochrane súkromia v (rôznych krajinách) EÚ a dal tak príležitosť porovnávať so stavom u nás. Celá akcia bola akýmsi vyvrcholením projektu EuroPriSe, do ktorého je zapojená moja miniatúrna (jednoosobová) firma. pokračovanie článku
Skúsme sa zamyslieť nad tým, ako sa postupuje v prípade vývoja softvéru, ktorý o.i. pracuje aj s osobnými údajmi. Podľa mojich skúseností dodávateľ takéhoto produktu zbystrí pozornosť predovšetkým vtedy, keď softvér má spracúvať údaje, ktoré majú celkom jasne charakter osobných údajov, teda meno, priezvisko, adresa a podobne. V tom lepšom prípade si to dodávateľ uvedomí aj sám, v tom horšom prípade ho na to musí upozorniť objednávateľ, v obidvoch prípadoch to spravidla znamená hľadanie odpovede na otázku čo je vlastne potrebné urobiť. Keďže dôraz na ochranu osobných údajov ako ústretový krok ku klientom či aspoň ako marketingový prvok sa u nás ešte nenosí, prioritou býva snaha formálne splniť to minimum, ktoré žiada legislatíva, aby bol pokoj od Úradu na ochranu osobných údajov. pokračovanie článku
Pozorný bádateľ (písomných) prejavov našich predkov si nemôže nevšimnúť, ako títo svojho času zvykli spestriť svoje vyjadrovanie prirovnaním pomocou slovka „ako“. Pyšný AKO páv, dievča AKO lusk, má ho rada AKO soľ, chlap AKO hora, mať sa AKO prasce v žite, pevný AKO skala, tvrdý AKO štolverk, Slovák AKO repa, pije AKO dúha, svieži AKO rybička, stojí AKO drúk, má rečí AKO koza bobkov, pokračovanie článku
Nedávno som posudzoval jeden z pripravovaných výstupov medzinárodného projektu, do ktorého som zapojený. Pokojná atmosféra (nedeľný podvečer) a zaujímavá téma umožnili odpútať sa od každodenných “prízemností” a pokúsiť sa s uvoľnenou mysľou predstaviť si niečo z možných budúcich dôsledkov využívania IT. Aj keď aj v tomto prípade sa prejavila profesionálna deformácia, keď sa moje predstavy krútili viac okolo možných problémov ... vzhľadom na tému posudzovaného dokumentu predovšetkým okolo toho, do akej miery by si súčasný právny systém vedel poradiť s rôznymi situáciami vo virtuálnom svete. Skúsme teda popustiť uzdu fantázii ... pokračovanie článku
Živí sa poradenstvom v oblasti bezpečnosti informačných systémov. Pravidelný prispievateľ do patavedeckých seminárov v Bratislave. Prednáša (informačnú bezpečnosť, čo iné) na Fakulte managementu UK a na Fakulte informatiky BVŠP v Bratislave. Ďalšie informácie o ňom možno nájsť na www.vaf.sk/tim.htm.
| << < Marec 2010 > >> | ||||||
| Po | Ut | St | Št | Pi | So | Ne |
| 01 | 02 | 03 | 04 | 05 | 06 | 07 |
| 08 | 09 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 31 | ||||
