BLOG

Porovnání odlišných pohledů na IT bezpečnost a ochranu digitálního soukromí

2017-05-18 09:01 Pavol Lupták

Na Facebooku jsem zveřejnil status, kde pokládám americkou NSA (kromě Wikileaks a odpovědných blackhat hackerů) za jednu z příčin masivního plošného kyberteroristického útoku, který zasáhl statisíce počítačů na celém světě.

Jako důvod uvádím, že v NSA za peníze daňových poplatníků nakupovali 0-day exploity na 0-day zranitelnosti, o kterých neinformovali softwarových výrobců, jako Microsoft, čímž automaticky ohrozily miliony občanů (v tomto konkrétním případě uživatelů MS Windows). Vášnivá diskuse o tom jestli NSA je jeden z viníků nebo ne, se dá zredukovat do jednoduché otázky:

„Schvalujete informační asymetrii mezi státem a občanem?“

Lidé, kteří tuto nerovnováhu schvalují a myslí si, že stát by měl disponovat tajnými informačními službami typu NSA, FBI, BIS, SIS zhromažďujúcimi informace i za cenu vážného narušení soukromí běžných lidí (ve prospěch „státu“) NSA nebudou pokládat za viníka, protože shromažďování 0-day exploitů vůči nimž se občané nedokáží bránit, pokládají za normální náplň oficiální práce informačních služeb.

Lidé, kteří naopak respektují a preferují individuální svobodu před zájmy státu, mají samozřejmě opačný názor a neschvalují informační asymetrii mezi státem a občanem. To znamená, že stát by neměl mít právo za peníze daňových poplatníků sbírat celoplošně informace o občanech, kteří nikomu neubližují, a porušovat tak jejich právo na soukromí, například využíváním 0-day exploitů.

Pohled na IT bezpečnost a ochranu digitálního soukromí se radikálně liší v závislosti na tom, zda se na problémy díváte jako člověk, který si tuto oblast nedokáže představit bez centrálního státu a jeho hlavního regulačního a vynuceném mechanismu (tzv. Etatistického pohled) nebo jako člověk, který věří, že decentralizované tržní řešení dokáží efektivně řešit většinu problémů v IT bezpečnosti i ochraně digitálního soukromí.

A který současně pokládá za prudce rizikové tak citlivou oblast jako je IT bezpečnost a ochranu soukromí ponechat na centralizované instituce jako je stát (tzv. Libertariánský pohled).

Tento konflikt ve vnímání IT bezpečnosti jsem si naplno uvědomil na konferenci Techsummit (http://techsummit.sk/2017/agenda/) v Bratislavě, kde jsem moderoval sekci Cybersecurity.

Přednášejícím jsem položil následující otázky

Otázka jednomu z přednášejících ohledně přednášky o GDPR (evropská legislativa o obecné ochraně dat, která mě platit plošně od příštího roku):

„Máte nízko-rozpočtovou firmu, která se specializuje na prodej velmi levných služeb nebo produktů. Současně máte klienty, jejichž priorita je nejnižší cena a jsou ochotni vyměnit nebo zcela se vzdát svých osobních informací za nejnižší cenu. Povinné plošné zavedení GDPR způsobí, že uvedená nízko rozpočtová firma bude muset kvůli této legislativě navýšit ceny vůči svým klientům, kteří ale žádnou ochranu svých osobních informací neočekávají, protože primárně chtějí nejnižší cenu.

Připadá Vám tento přístup ze strany EÚ a její vynucování GDPR vůči prodejcům (kteří GDPR budou muset implementovat) a zákazníkem (kteří budou mít kvůli tomu vyšší ceny) morální? GDPR totiž bere možnost volby – rozhodnout se zda je pro mě vyšší priorita ochrana osobních údajů nebo například cena.“

Otázka druhému přednášejícímu, který měl výbornou přednášku o současných hrozbách na Internetu:

„Ve své přednášce jste několikrát zmínili nutnost státu jako nástroje na boj proti kyberzločinu, jakož i na zajištění lepší ochrany digitálního soukromí samotných občanů. Co říkáte na to, že západní politici (například britský premiér) chce zakázat end-to-end šifrovanou komunikaci?

Co říkáte na to, že státní instituce (mezi jinými i české a slovenské) nakupují špehování malware založený na 0-day exploitech od firem pracujících pro diktátorské režimy? „

V obou případech totiž stát výrazně ohrožuje soukromí občanů. Navzdory vysoké znalosti problematiky, jsem na žádnou z těchto otázek od zmíněných odborníků, nedostal uspokojivou odpověď.

Vytvořil jsem proto přehlednou tabulku se sumarizací více vážných témat v oblasti IT bezpečnosti a ochrany digitálního soukromí a popsal jsem v ní dva odlišné pohledy – etatistického a libertariánský. IT specialisté, kteří se nedokáží ztotožnit s žádným z těchto pohledů budou názorově nacházet „někde uprostřed“.

Etatistický pohled

Libertariánsky pohled

Nejdůležitejší jsou

Zájmy státu

Zájmy jednotlivce

Informační asymetrie stát vs. občan

Informační asymetrie štát vs. občan je v pořádku. Stát musí disponovat institucemi s „prakticky neomezenými oprávněními“ jako jsou tajné informační agentury (NSA, FBI, BIS, SIS, ..), které i za cenu vážného porušení soukromí, získávají přístup k informacím. Je v pořádku, že tyto instituce disponují 0-day exploity vůči nimž jsou občané a jejich online zařízení bezbranné.

nformační asymetrie štát vs. občan je v nepřípustná.

Stát může o lidech, kteří nikomu neubližují, sbírat a využívat pouze veřejně dostupné informace. Historicky jsme svědky neustálého zneužívání informací ze strany státních informačních agentur, například ve formě politického boje. Státní informační agentury by neměly mít „neomezené privilegia“ (jako momentálně mají – například možnost páchat jisté trestné činy)

Internetová cenzura

Cenzura je za jistých okolností přípustná (například v boji proti gamblingu, což je v současnosti na Slovensku a v Čechách).

Cenzura za peníze daňových poplatníků, kteří si ji nepřejí je neakceptovatelná. Soukromá cenzura ve formě regulace, se kterou zákazníci souhlasí (například zákaz porna) je samozřejmě v pořádku.

Stát jako klíčová autorita v IT bezpečnostní legislativě

Stát je klíčová autorita, co se týče bezpečnostní legislativy. Využívá své instituce (například Úřad pro ochranu osobních údajů) na penalizaci společností / firem, které zanedbali bezpečnost a ochranu dat. Stát určuje a vynucuje požadavky na ochranu dat (GDPR).

Ztráta reputace na trhu (a následná ztráta klientů) představuje pro soukromé firmy (zvláště ty, pro které je to kritické – jako banky) silnější tlak na řešení IT bezpečnosti a ochrany osobních údajů jako pokuta od státu. Pokuta za únik informací je paradoxní v případě státu, kdy státní instituce platí za únik svých dat (například centrální katastr) další státní instituci. V konečném důsledku jsou náklady na chyby státních instituci vždy externalizovány na daňové poplatníky (nenesou jejich ti, kteří chybu způsobili – jako je tomu v případě soukromých firem).

Každý občan má právo na ochranu digitálního soukromí ze strany státu


Ano.

Stát by měl toto právo garantovat.

Ne.

Je nemorální, aby náklady na ochranu soukromí lidí, kteří o ochranu svého soukromí nestojí, byly externalizovány pod hrozbou násilí na všech daňových poplatníků. (Proč by měli všichni přispívat na jakoukoli „privacy“ státní / EU regulaci Facebooku na ochranu uživatelů, kteří dobrovolně souhlasili s podmínkami Facebooku a rozhodli se dobrovolně vyměnit své soukromí za benefity, které jim Facebook přináší).

Právo na absolutní soukromí (pokud nikomu není ublíženo)

Ne.

Občan nemá právo zatajit například své finanční transakce před Daňovým úřadem. Takže nemá právo na absolutní soukromí (například v oblasti svých finančních převodů).

Ano.

Technologie jako truly-anonymous kryptoměna (Monera, Zcash, Zcoin, ..) toto technicky i umožňují. Dokud nejsou omezovány svobody jiných lidí, každý má právo na absolutní soukromí. Externalizace nákladů daňových poplatníků za ochranu digitálního soukromí

Externalizace nákladů daňových poplatníků za ochranu digitálního soukromí

(Například GDPR)

Ano.

Ochrana soukromí je top priorita EU. A proto musí být plošné a povinné pro všechny (GDPR).

Ne.

Každý by měl mít právo rozhodnout se, zda je jeho priorita soukromí nebo něco jiného. Náklady na ochranu digitálního soukromí je nemorální externalizovat na všech daňových poplatníků (tedy i na ty, kteří nestojí o ochranu svého soukromí a mají jiné preference).

Pokud se ztotožňujete s přesvědčením nepracovat pro stát, navštivte web našeho projektu nepracujeme pro stát a neváhejte se stát členy této iniciativy.