BLOG

Porovnanie odlišných pohľadov na IT bezpečnosť a ochranu digitálneho súkromia

Na Facebooku som zverejnil status, kde pokladám americkú NSA (okrem Wikileaks a zodpovedných blackhat hackerov) za jednu z príčin masívneho plošného kyberteroristického útoku, ktorý zasiahol státisíce počítačov na celom svete.

Ako dôvod uvádzam, že v NSA za peniaze daňových poplatníkov nakupovali 0-day exploity na 0-day zraniteľnosti, o ktorých neinformovali softvérových výrobcov, ako Microsoft, čím automaticky ohrozili milióny občanov (v tomto konkrétnom prípade používateľov MS Windows). Vášnivá diskusia o tom či NSA je jeden z vinníkov alebo nie, sa dá zredukovať do jednoduchej otázky:

Schvaľujete informačnú asymetriu medzi štátom a občanom?”

Ľudia, ktorí túto nerovnováhu schvaľujú a myslia si, že štát by mal disponovať tajnými informačnými službami typu NSA, FBI, BIS, SIS zhromažďujúcimi informácie aj za cenu vážneho narušenia súkromia bežných ľudí (v prospech “štátu”) NSA nebudú pokladať za vinníka, kedže zhromažďovanie 0-day exploitov voči ktorým sa občania nedokážu brániť, pokladajú za normálnu náplň oficiálnej práce informačných služieb.

Ľudia, ktorí naopak rešpektujú a preferujú individuálnu slobodu pred záujmami štátu, majú samozrejme opačný názor a neschvaľujú informačnú asymetriu medzi štátom a občanom. To znamená, že štát by nemal mať právo za peniaze daňových poplatníkov zbierať celoplošne informácie o občanoch, ktorí nikomu neubližujú, a porušovať tak ich právo na súkromie, napríklad využívaním 0-day exploitov.

Pohľad na IT bezpečnosť a ochranu digitálneho súkromia sa radikálne líši v závislosti od toho, či sa na problémy dívate ako človek, ktorý si túto oblasť nedokáže predstaviť bez centrálneho štátu a jeho hlavného regulačného a vynucovacieho mechanizmu (tzv. etatistický pohľad) alebo ako človek, ktorý verí, že decentralizované trhové riešenia dokážu efektívne riešiť väčšinu problémov v IT bezpečnosti aj ochrane digitálneho súkromia.

A ktorý súčasne pokladá za prudko rizikové tak citlivú oblasť ako je IT bezpečnosť a ochranu súkromia ponechať na centralizované inštitúcie ako je štát (tzv. libertariánsky pohľad).

Tento konflikt vo vnímaní IT bezpečnosti som si naplno uvedomil na konferencii Techsummit v Bratislave, kde som moderoval sekciu Cybersecurity.

Prednášajúcim som položil nasledovné otázky

Otázka jednému z prednášajúcich ohľadom prednášky o GDPR (európska legislatíva o všeobecnej ochrane dát, ktorá ma platiť plošne od budúceho roku):

Máte nízko-rozpočtovú firmu, ktorá sa špecializuje na predaj veľmi lacných služieb alebo produktov. Súčasne máte klientov, ktorých priorita je najnižšia cena a sú ochotní vymeniť alebo úplne sa vzdať svojich osobných informácií za najnižšiu cenu. Povinné plošné zavedenie GDPR spôsobí, že uvedená nízko rozpočtová firma bude musieť kvôli tejto legislatíve navýšiť ceny voči svojím klientom, ktorí ale žiadnu ochranu svojich osobných informácií neočakávajú, nakoľko primárne chcú najnižšiu cenu. Pripadá Vám tento prístup zo strany EÚ a jej vynucovania GDPR voči predajcom (ktorí GDPR budú musieť implementovať) a zákazníkom (ktorí budú mať kvôli tomu vyššie ceny) morálny? GDPR totiž berie možnosť voľby – rozhodnúť sa či je pre mňa vyššia priorita ochrana osobných údajov alebo napríklad cena.“

 

Otázka druhému prednášajúcemu, ktorý mal výbornú prednášku o súčasných hrozbách na Internete:


Vo svojej prednáške ste viackrát spomenuli nevyhnutnosť štátu ako nástroja na boj proti kyberzločinu, ako aj na zabezpečenie lepšej ochrany digitálneho súkromia samotných občanov. Čo hovoríte na to, že západní politici (napríklad britský premiér) chce zakázať end-to-end šifrovanú komunikáciu?
Čo hovoríte na to, že štátne inštitúcie (medzi inými aj české a slovenské) nakupujú špehovací malvér založený na 0-day exploitoch od firiem pracujúcich pre diktátorské režimy?“

 

V oboch prípadoch totiž štát výrazne ohrozuje súkromie občanov. Napriek vysokej znalosti problematiky, som na žiadnu z týchto otázok od spomenutých odborníkov, nedostal uspokojivú odpoveď.

Vytvoril som preto prehľadnú tabuľku so sumarizáciou viacerých vážnych tém v oblasti IT bezpečnosti a ochrany digitálneho súkromia a popísal som v nej dva odlišné pohľady – etatistický a libertariánsky. IT špecialisti, ktorí sa nedokážu stotožniť so žiadnym z týchto pohľadov sa budú názorovo nachádzať “niekde v strede”.

Etatistický pohľad

Libertariánsky pohľad

Najdôležitejšie sú

Záujmy štátu

Záujmy jednotlivca

Informačná asymetria štát vs. občan Informačná asymetria štát vs. občan je v poriadku.

Štát musí disponovať inštitúciami s “prakticky neobmedzenými privilégiami” ako sú tajné informačné agentúry (NSA, FBI, BIS, SIS, ..), ktoré aj za cenu vážneho porušeniu súkromia, získavajú prístup k informáciám.

Je v poriadku, že tieto inštitúcie disponujú 0-day exploitami voči ktorým sú občania a ich online zariadenia bezbranné.

Informačná asymetria štát vs. občan je neprípustná.

Štát môže o ľuďoch, ktorí nikomu neubližujú, zbierať a využívať iba verejne dostupné informácie.

Historicky sme svedkami neustáleho zneužívania informácii zo strany štátnych informačných agentúr, napríklad vo forme politického boja.

Štátne informačné agentúry by nemali mať “neobmedzené privilégiá” (ako momentálne majú – napríklad možnosť páchať isté trestné činy)

Internetová cenzúra Cenzúra je za istých okolností prípustná (napríklad v boji proti gamblingu, čo je v súčasnosti na Slovensku a v Čechách). Cenzúra za peniaze daňových poplatníkov, ktorí si ju neželajú je neakceptovateľná. Súkromná cenzúra vo forme regulácie, s ktorou zákazníci súhlasia (napríklad zákaz porna) je samozrejme v poriadku.
Štát ako kľúčová autorita v IT bezpečnostnej legislatíve Štát je kľúčová autorita, čo sa týka bezpečnostnej legislatívy.

Využíva svoje inštitúcie (napríklad Úrad na ochranu osobných údajov) na penalizáciu spoločností/ firiem, ktoré zanedbali bezpečnosť a ochranu dát.

Štát určuje a vynucuje požiadavky na ochranu dát (GDPR).

Strata reputácie na trhu (a následná strata klientov) predstavuje pre súkromné firmy (obzvlášť tie, pre ktoré je to kritické – ako banky) silnejší tlak na riešenie IT bezpečnosti a ochrany osobných údajov ako pokuta od štátu.

Pokuta za únik informácií je paradoxná v prípade štátu, kedy štátna inštitúcia platí za únik svojich dát (napríklad centrálny kataster) ďalšej štátnej inštitúcii.

V konečnom dôsledku sú náklady na chyby štátnych inštitúcii vždy externalizované na daňových poplatníkov (nenesú ich tí, ktorí chybu spôsobili – ako je to v prípade súkromných firiem).

Každý občan má právo na ochranu digitálneho súkromia zo strany štátu
Áno.
Štát by mal toto právo garantovať.
Nie.

Je nemorálne, aby náklady na ochranu súkromia ľudí, ktorí o ochranu svojho súkromia nestoja, boli externalizované pod hrozbou násilia na všetkých daňových poplatníkov.

(prečo by mali všetci prispievať na akúkoľvek “privacy” štátnu/ EÚ reguláciu Facebooku na ochranu používateľov, ktorí dobrovoľne súhlasili s podmienkami Facebooku a rozhodli sa dobrovoľne vymeniť svoje súkromie za benefity, ktoré im Facebook prináša).

Právo na absolútne súkromie (pokiaľ nikomu nie je ublížené) Nie.

Občan nemá právo zatajiť napríklad svoje finančné transakcie pred Daňovým úradom. Takže nemá právo na absolútne súkromie (napríklad v oblasti svojich finančných prevodov).

Áno.

Technológie ako truly-anonymous kryptomeny (Monero, Zcash, Zcoin, ..) toto technicky aj umožňujú.

Pokým nie sú obmedzované slobody iných ľudí, každý má právo na absolútne súkromie.

Externalizácia nákladov na daňových poplatníkov za ochranu digitálneho súkromia

(napríklad GDPR)

Áno.

Ochrana súkromia je top priorita EÚ. A preto musí byť plošné a povinné pre všetkých (GDPR).

Nie.

Každý by mal mať právo rozhodnúť sa, či je jeho priorita súkromie alebo niečo iné.

Náklady na ochranu digitálneho súkromia je nemorálne externalizovať na všetkých daňových poplatníkov (teda aj na tých, ktorí nestoja o ochranu svojho súkromia a majú iné preferencie).

Ak sa stotožňujete s presvedčením nepracovať pre štát, navštívte web nášho projektu nepracujeme pre stat a neváhajte sa stať členmi tejto iniciatívy.