Osobní údaje a jejich bezpečnost:
Strach a zkušenosti
1 Úvod
Pokud mluvíme o bezpečnosti na internetu, jednou z prvních věcí, kterou pravděpodobně zmíníme, by mohla být ochrana našich osobních údajů. Mít na paměti jejich bezpečnost je součástí pomyslných základních pravidel správného chování na internetu. Otázky ochrany osobních údajů se pravidelně objevují nejen v e-mailové poště, kterou nám zasílá naše banka a v různých zprávách v médiích, ale stále více prostupují naším životem a každodenními rozhovory. Jaká je ale skutečnost? Kolik lidí má zkušenosti s kyber-útoky nebo jiným narušením bezpečnosti osobních údajů? Kolik je těchto útoků, jakou mají povahu a jak moc jsou pro nás nebezpečné? A co naše obava z nich? Je dostatečná, velká nebo malá? Jaká je naše představa o nich? Nejeden člověk si asi položil některé z těchto otázek, právě když řešil jak se zachovat a tak stejně jsem si je položila v této práci i já.
1 Osobní údaje a jejich bezpečnost
1.1 Definice osobních údajů
Abychom se mohli bavit o osobních údajích a jejich bezpečnosti, je třeba si tento pojem vymezit. Podle GDPR (General Data Protection Regulation) ustanovené Evropskou unií v roce 2016 jsou osobními údaji myšleny veškeré informace týkající se identifikované nebo identifikovatelné fyzické osoby.
Tato osoba je ta, kterou identifikujeme (přímo či nepřímo) skrze identifikátor jako je jméno, identifikační číslo, údaje o poloze, online identifikátor nebo jeden a více znaků specifických pro fyzickou, fyziologickou, genetickou, mentální, ekonomickou, kulturní nebo sociální identitu této osoby. Narušením bezpečnosti osobních údajů se pak rozumí takové narušení bezpečnosti, které vede k náhodnému nebo nezákonnému zničení, ztrátě, změně, neoprávněnému vyzrazení nebo přístupu k osobním údajům přenášeným, uloženým nebo jinak zpracovávaných. [1]
Každý stát má jiné zákony pro ochranu osobních údajů. V České Republice je ochrana osobních údajů vymezena zákonem č. 101/200 Sb. a dalšími právními předpisy [2]. I přes poměrně dobré zákony jsou občané těchto států stále konfrontováni s otázkou bezpečnosti.
1.1 Důvěra v ochranu osobních údajů institucemi
Podle studie na Američanech prezentované na internetu začátkem tohoto roku, nemají lidé důvěru v to, že se společnosti nebo instituce pracující s jejich osobními daty o ně postarají tak, aby nedošlo k narušení bezpečnosti. Ostatně jak v Americe, [3] tak i u nás [4] a jinde po světě [5] se v médiích pravidelně objevují zprávy o útocích a často následujících únicích osobních údajů či jiných dat. Mnoho Američanů se dle článku obává, že ztratili kontrolu nad svými osobními údaji [6]. Přitom s novými technologiemi (IoT a další) nabývá bezpečnost osobních dat na důležitosti. Zatímco 49 % Američanů ve výzkumu má pocit, že se v posledních 5 letech bezpečnost jejich osobních dat zhoršila, jen 18 % jich má pocit, že je lepší. Zvláště generace starší 50 let spadá do první skupiny lidí. Výše zmíněný výzkum byl proveden v roce 2016 na 1040 dospělých jedincích americké státní příslušnosti [7] Ve zprávě s daty z roku 2015 z UK si respondenti (zde organizace) myslí, že v příštím roce se zvýší počet incidentů týkajících se bezpečnosti dat. Bylo jich 59 %, tedy nadpoloviční většina. Pokud rozdělíme organizace podle velikosti, velké organizace očekávaly nárůst v 67 %, zatímco malé organizace jen v 38 % a toto procento má stálou klesající tendenci. [8] Důvěra lidí v instituce byla v americkém výzkumu poměrně nízká, nicméně záleželo na typu dané instituce. Zatímco telekomunikační společnosti, banky, poskytovatelé e-mailových adres a podnikatelé měli u lidí ve výzkumu vyšší důvěru, americká vláda a sociální sítě dopadli hůře. Sociálním sítím vyjádřilo nedůvěru 51 % lidí, vládě 49 %, zatímco u jiných institucí se nedůvěra pohybovala mezi 26 až 36 %. [9]
Podle některých výzkumů jsou opravdu možnosti ochrany osobních údajů omezené a vládní stránky by mohly lehko podlehnout útoku. [10] Na druhou stranu u organizací zapojených do zprávy z UK byla bezpečnost na sociálních sítích v roce 2015 narušena jen v 13 % podle zprávy z roku 2015 a 12 % podle zprávy o rok starší. [11]
1.1 Zkušenosti s narušením bezpečnosti osobních údajů
S důvěrou úzce souvisí i vlastní zkušenosti a zkušenosti s institucemi. Podle výzkumu na Američanech má 64 % lidí alespoň jeden online účet obsahující tato data. Přitom při každém přihlášení či jiné digitální akci vznikají data, která se ukládají a která musí být chráněna institucemi je schraňujícími. Některé instituce se starají o velmi citlivá data, jako jsou zdravotní historie nebo finanční záznamy. Výsledky tohoto výzkumu ukazují, že obavy Američanů nejsou zcela neopodstatněné, protože většina lidí zahrnutých do výzkumu (64 %) má zkušenosti s větším narušením bezpečnosti osobních údajů (což je stejné procento jako počet lidí, kteří mají online účet obsahující osobní údaje). Podle výzkumu se 41 % jedinců setkalo s podvodnými poplatky na jejich kartě, 35 % dostalo zprávu, že byla ohrožena jejich citlivá data, 16 % lidí prohlásilo, že někdo převzal kontrolu nad jejich účtem (z 13 % šlo o účet na sociálních sítích), 15 % obdrželo zprávu o ohrožení čísla jejich Sociálního zabezpečení, 14 % prohlásilo, že se někdo pokusil vzít si půjčku na jejich jméno a 6 % že někdo se pokusil podat podvodné daňové přiznání jejich jménem. Lidé ve věkovém rozpětí 30 až 65 let se v 48 % setkali s podvodnými poplatky na jejich kartě a 72 % se jich setkala alespoň s jedním výše zmíněným narušením bezpečnosti dat, tato skupina je tedy obecně nejvíce vystavena riziku. [12] Tyto čísla jsou podpořena jinou studií, podle které je obecné procento lidí, kteří zažili ohrožení bezpečnosti osobních údajů 65 %. [13] Dat ze zprávy zabývající se organizacemi z UK z roku 2015 ukázala, že 90 % velkých organizací a 74 % malých organizací zažilo ohrožení schraňovaných osobních údajů, což je podstatné navýšení oproti předchozímu roku. Nicméně zde je dobré připojit, že za poslední rok počet útoků na jednu organizaci v průměru klesl o 2 útoky na organizaci. [14]
2.4 Uvědomění si rizika a ochota přijmout opatření
Nicméně přes zmiňované zkušenosti i obavy z možnosti ohrožení bezpečnosti osobních dat, si lidé zapojení do výzkumu celkově (v rámci svého každodenního života) nedělají příliš velké starosti s kyber-bezpečností. V kontextu běžného života odpovědělo 69 % Američanů, že si nedělá starosti s kyber-bezpečností, zatímco 30 % prohlásilo, že si je dělá. Tomu odpovídá i přístup lidí zahrnutých do výzkumu, kteří i přes narušení bezpečnosti často porušují základní pravidla a nemění se u nich např. ochota změnit si heslo. Stejné procento (69 %) zároveň sdělilo, že si někdy rozmysleli založení online účtu kvůli vystavování se riziku ohrožení jejich osobních údajů. Je tedy otázkou jakou cestou jsou lidé ochotní reagovat. Dále jen 20 % Američanů z výzkumu používalo online bankovnictví a 21 % dělalo online nákupy na veřejném internetu. [15] Neochota jednotlivců přijímat opatření v rámci bezpečnosti dat může souviset s tím, že zdaleka ne všechny případy ohrožení mají velké dopady, naopak těch zničujících je málo, ačkoliv mohou mít velké dopady. [16] Oproti tomu společnosti si riziko uvědomují, snaží se školit personál, snaží se najít nové způsoby jak zlepšit bezpečnost a probírají tyto problémy na poradách. 44 % společností z výzkumu zvýšilo v roce 2015 své náklady na bezpečnost. Nicméně téměř třetina zapojených společností neprovedla v daném roce žádný výzkum týkající se odhadu bezpečnostních rizik. Zde je ale otázka, nakolik jsou k tomu firmy uzpůsobeny. [17] Ochota organizací investovat více do bezpečnosti může souviset s jejich náklady na boj s kyber-útoky i vyrovnání se s případnými škodami jako je poškození reputace. [18]
1 Závěr
Podle zmíněných výzkumů se v průběhu posledních let počty kyber-útoků zvyšují a s tím rostou i ostatní průvodní jevy. Okolo 64 % lidí se setkalo s ohrožením jejich osobních údajů, přičemž hlavní věkovou skupinou jsou lidé ve věkovém rozmezí 30 až 65 let. Tato skupina se setkala s jedním ze zmiňovaných typů ohrožením bezpečnosti osobních údajů v 72 %. U organizací záleželo množství útoků s velikostí. U velkých organizací bylo procento větší (90 %) než u menších (74 %). Většina lidí si myslí, že tyto útoky budou v příštích letech četnější, jen malé organizace se přiklánějí spíše k opačnému názoru. Nejmenší důvěru lidí v ochranu osobních údajů měly podle výzkumu v Americe vláda spolu se sociálními sítěmi. Přes poměrně velkou nedůvěru si však lidé v kontextu běžného života nedělají velké starosti s datovými úniky. Ačkoliv dodržují jistá pravidla, jejich opatrnost by měla být větší. Opatření přijímají i organizace, které stále navyšují svůj rozpočet i úsilí v oblasti bezpečnosti dat.
Zdroje
[1] EU, 2016. Art. 4 GDPR — Definitions | General Data Protection Regulation (GDPR). General Data Protection Regulation (GDPR) [online] [vid. 2017a-12–01]. Dostupné z: https://gdpr-info.eu/art-4-gdpr/
[2] Ochrana osobních údajů [online] [vid. 2017b-12–01]. Dostupné z: http://www.oou.cz/
[3] OLMSTEAD, Kenneth a Aaron SMITH, 2017. 1. Americans and Cybersecurity. Pew Research Center: Internet, Science & Tech [online] [vid. 2017–10–30]. Dostupné z: http://www.pewinternet.org/2017/01/26/americans-and-cybersecurity/
[4] TELEVIZE, Česká, 2017. Cílem hackerů už byli čeští politici, média i banky. Kyberzločinu čelí nový úřad. ČT24 [online] [vid. 2017–12–01]. Dostupné z: http://www.ceskatelevize.cz/ct24/domaci/2198302-novy-urad-pro-kyberbezpecnost-zacal-fungovat-ma-celit-silicim-utokum-hackeru
[5] CYBERSECURITY HELP, 2016. Top-10 bezpečnostních incidentů v srpnu 2016. Root.cz [online] [vid. 2017c-12–01]. Dostupné z: https://blog.root.cz/cybersecurity-help/top-10-bezpecnostnich-incidentu-v-srpnu-2016/
[6] MADDEN, Mary, 2014. Public Perceptions of Privacy and Security in the Post-Snowden Era. Pew Research Center: Internet, Science & Tech [online] [vid. 2017–12–01]. Dostupné z: http://www.pewinternet.org/2014/11/12/public-privacy-perceptions/
[7] OLMSTEAD, Kenneth a Aaron SMITH, 2017. 1. Americans and Cybersecurity. Pew Research Center: Internet, Science & Tech [online] [vid. 2017–10–30]. Dostupné z: http://www.pewinternet.org/2017/01/26/americans-and-cybersecurity/
[8] HM GOVERMENT, 2016. Information Security Breaches Survey [online] [vid. 2017–10–30]. Dostupné z: https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/432412/bis-15-302-information_security_breaches_survey_2015-full-report.pdf
[9] OLMSTEAD, Kenneth a Aaron SMITH, 2017. 1. Americans and Cybersecurity. Pew Research Center: Internet, Science & Tech [online] [vid. 2017–10–30]. Dostupné z: http://www.pewinternet.org/2017/01/26/americans-and-cybersecurity/
[10] DE BRUIJN, Hans a Marijn JANSSEN, 2017. Building Cybersecurity Awareness: The need for evidence-based framing strategies. Government Information Quarterly. 34(1), 1–7.
[11] HM GOVERMENT, 2016. Information Security Breaches Survey [online] [vid. 2017–10–30]. Dostupné z: https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/432412/bis-15-302-information_security_breaches_survey_2015-full-report.pdf
[12] OLMSTEAD, Kenneth a Aaron SMITH, 2017. 1. Americans and Cybersecurity. Pew Research Center: Internet, Science & Tech [online] [vid. 2017–10–30]. Dostupné z: http://www.pewinternet.org/2017/01/26/americans-and-cybersecurity/
[13] HADLINGTON, Lee, 2017. Human factors in cybersecurity; examining the link between Internet addiction, impulsivity, attitudes towards cybersecurity, and risky cybersecurity behaviours. Heliyon. 3(7).
[14] HM GOVERMENT, 2016. Information Security Breaches Survey [online] [vid. 2017–10–30]. Dostupné z: https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/432412/bis-15-302-information_security_breaches_survey_2015-full-report.pdf
[15] OLMSTEAD, Kenneth a Aaron SMITH, 2017. 1. Americans and Cybersecurity. Pew Research Center: Internet, Science & Tech [online] [vid. 2017–10–30]. Dostupné z: http://www.pewinternet.org/2017/01/26/americans-and-cybersecurity/
[16] DE BRUIJN, Hans a Marijn JANSSEN, 2017. Building Cybersecurity Awareness: The need for evidence-based framing strategies. Government Information Quarterly. 34(1), 1–7.
[17] HM GOVERMENT, 2016. Information Security Breaches Survey [online] [vid. 2017–10–30]. Dostupné z: https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/432412/bis-15-302-information_security_breaches_survey_2015-full-report.pdf
[18] DE BRUIJN, Hans a Marijn JANSSEN, 2017. Building Cybersecurity Awareness: The need for evidence-based framing strategies. Government Information Quarterly. 34(1), 1–7.
Zdroje obrázkových příloh
Obr. č. 1: SITEC [online] [vid. 2017–10–30]. Dostupné z: http://sitec.ae/wp-content/uploads/2017/01/beronet_security-issue.jpg
Obr. č. 2: OLMSTEAD, Kenneth a Aaron SMITH, 2017. 1. Americans and Cybersecurity. Pew Research Center: Internet, Science & Tech [online] [vid. 2017–10–30]. Dostupné z: http://www.pewinternet.org/2017/01/26/americans-and-cybersecurity/
Obr. č. 3: HM GOVERMENT, 2016. Information Security Breaches Survey [online] [vid. 2017–10–30]. Dostupné z: https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/432412/bis-15-302-information_security_breaches_survey_2015-full-report.pdf
